CN117641353A - 通信方法、装置和系统 - Google Patents
通信方法、装置和系统 Download PDFInfo
- Publication number
- CN117641353A CN117641353A CN202210968996.XA CN202210968996A CN117641353A CN 117641353 A CN117641353 A CN 117641353A CN 202210968996 A CN202210968996 A CN 202210968996A CN 117641353 A CN117641353 A CN 117641353A
- Authority
- CN
- China
- Prior art keywords
- node
- centralized unit
- host node
- source host
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 358
- 238000004891 communication Methods 0.000 title claims abstract description 64
- 230000005540 biological transmission Effects 0.000 claims abstract description 184
- 230000005012 migration Effects 0.000 claims description 188
- 238000013508 migration Methods 0.000 claims description 188
- 230000010354 integration Effects 0.000 claims description 81
- 230000004044 response Effects 0.000 claims description 59
- 230000006870 function Effects 0.000 claims description 38
- 230000015654 memory Effects 0.000 claims description 38
- 238000006243 chemical reaction Methods 0.000 claims description 27
- 238000012795 verification Methods 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 description 64
- 230000008569 process Effects 0.000 description 40
- 238000007726 management method Methods 0.000 description 33
- 239000013256 coordination polymer Substances 0.000 description 17
- 238000010586 diagram Methods 0.000 description 9
- 238000010295 mobile communication Methods 0.000 description 6
- 239000013307 optical fiber Substances 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000001617 migratory effect Effects 0.000 description 3
- 238000000926 separation method Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种通信系统,应用于接入回传一体化节点从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元的场景下,该通信系统包括:目标宿主节点的集中式单元,用于根据第一根密钥、接入回传一体化节点的第一因特网协议地址和源宿主节点的集中式单元的第二因特网协议地址,推演第一预共享密钥,向该源宿主节点的集中式单元发送第一预共享密钥;该源宿主节点的集中式单元,用于接收第一预共享密钥,并根据第一预共享密钥对该接入回传一体化节点进行安全认证,以建立该源宿主节点的集中式单元与该接入回传一体化节点之间的安全传输通道。该方法可以建立源宿主节点的集中式单元和接入回传一体化节点之间的安全传输通道,提高通信安全。
Description
技术领域
本申请涉及接入回传一体化网络,尤其涉及一种通信方法、装置和系统。
背景技术
为满足第五代(the 5th generation,5G)移动通信系统的超高容量需求,高频小站组网成为主流。高频载波传播特性较差,受遮挡衰减严重,覆盖范围不广,故而需要大量且密集地部署小站。接入回传一体化(integrated access and backhaul,IAB)技术为解决上述问题提供了思路。IAB网络的接入链路(access Link)和回传链路(backhaul link)皆采用无线传输方案,可以避免光纤部署。
如图3和图4所示,在IAB节点和宿主节点之间,需要建立F1接口。为了保护F1接口的安全,IAB节点和IAB宿主之间可以建立安全传输通道,如因特网协议(internetprotocol,IP)安全(IP security,IPSec)通道。
然而在一些情况下,IAB节点和IAB宿主之间的安全传输通道可能会建立失败,导致IAB节点和IAB宿主之间的通信存在安全风险。因此,如何建立IAB节点和IAB宿主的集中式单元之间的安全传输通道以提高IAB节点和IAB宿主之间的安全性能是当前需要解决的问题。
发明内容
本申请提供了一种通信方法、装置和系统,可以提高接入回传一体化节点和源宿主节点之间通信的安全性。
第一方面,提供了一种通信系统,应用于接入回传一体化节点从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元的场景下,该系统包括目标宿主节点的集中式单元和源宿主节点的集中式单元,其中,该目标宿主节点的集中式单元,用于根据第一根密钥、该接入回传一体化节点的第一因特网协议地址和该源宿主节点的集中式单元的第二因特网协议地址,推演得到第一预共享密钥;向该源宿主节点的集中式单元发送该第一预共享密钥;该源宿主节点的集中式单元,用于接收来自该目标宿主节点的集中式单元的该第一预共享密钥;根据该第一预共享密钥对该接入回传一体化节点进行安全认证,以建立该源宿主节点的集中式单元与该接入回传一体化节点之间的第一安全传输通道。
在上述方案中,源宿主节点的集中式单元根据从目标宿主节点的集中式单元获取到的第一预共享密钥,建立源宿主节点的集中式单元与接入回传一体化节点之间的第一安全传输通道,以避免由于源宿主节点的集中式单元所使用的预共享密钥与接入回传一体化节点使用的预共享密钥不同,导致第一安全传输通道建立失败的情况,从而可以提高源宿主节点的集中式单元与接入回传一体化节点之间通信的安全性。
结合第一方面,在第一方面的某些实现方式中,该目标宿主节点的集中式单元,还用于向该源宿主节点的集中式单元发送与该第一预共享密钥对应的地址信息,该地址信息包括该第一因特网协议地址和/或该第二因特网协议地址;该源宿主节点的集中式单元,还用于接收来自该目标宿主节点的集中式单元的该地址信息;保存该第一预共享密钥和该地址信息的对应关系。
在上述方案中,目标宿主节点的集中式单元除了向源宿主节点的集中式单元发送第一预共享密钥以外,还向源宿主节点的集中式单元发送了该第一预共享密钥对应的地址信息,以便源宿主节点的集中式单元确定该第一预共享密钥用于建立该地址信息对应的安全传输通道。
结合第一方面,在第一方面的某些实现方式中,该源宿主节点的集中式单元,用于根据该第一预共享密钥对该接入回传一体化节点进行安全认证,包括:该源宿主节点的集中式单元,用于接收来自该接入回传一体化节点的请求消息,该请求消息用于请求建立该安全传输通道,该请求消息包括该地址信息;根据该地址信息,以及该第一预共享密钥和该地址信息的对应关系,确定该第一预共享密钥;根据该第一预共享密钥,对该接入回传一体化节点进行安全认证。
基于上述方案,源宿主节点的集中式单元接收到来自接入回传一体化节点的用于请求建立安全传输通道的请求消息之后,根据该请求消息中携带的地址信息,从本地存储中查找与该地址信息对应的第一预共享密钥,以便使用该第一预共享密钥建立该地址信息对应的安全传输通道。
结合第一方面,在第一方面的某些实现方式中,该源宿主节点的集中式单元,还用于向该目标宿主节点的集中式单元发送该第二因特网协议地址;该目标宿主节点的集中式单元,还用于接收来自该源宿主节点的集中式单元的该第二因特网协议地址。
在上述方案中,源宿主节点的集中式单元还可以向目标宿主节点的集中式单元发送第二因特网协议地址,以便目标宿主节点的集中式单元可以根据该地址信息推演第一预共享密钥,以保障目标宿主节点的集中式单元与接入回传一体化节点使用相同的参数推演预共享密钥,从而使得第一预共享密钥和接入回传一体化节点推演的预共享密钥相同,可以避免由于源宿主节点的集中式单元所使用的预共享密钥与接入回传一体化节点使用的预共享密钥不同,导致第一安全传输通道建立失败的情况。
结合第一方面,在第一方面的某些实现方式中,该源宿主节点的集中式单元,还用于向该目标宿主节点的集中式单元发送该第二因特网协议地址,包括:该源宿主节点的集中式单元,还用于向该目标宿主节点的集中式单元发送切换请求消息,该切换请求消息包括该第二因特网协议地址,该切换请求消息用于请求将该接入回传一体化节点从该源宿主节点的集中式单元切换到该目标宿主节点的集中式单元;该目标宿主节点的集中式单元,还用于接收来自该源宿主节点的集中式单元的该第二因特网协议地址,包括:该目标宿主节点的集中式单元,还用于接收来自该源宿主节点的集中式单元的包括该第二因特网协议地址的该切换请求消息。
在上述方案中,在通过切换流程将接入回传一体化节点从源宿主节点的集中式单元迁移至目标宿主节点的集中式单元的情况下,源宿主节点的集中式单元向目标宿主节点的集中式单元发送切换请求消息,并在该切换请求消息中携带该第二因特网协议地址。
结合第一方面,在第一方面的某些实现方式中,该目标宿主节点的集中式单元,还用于接收来自该接入回传一体化节点的重建立请求消息,该重建立请求消息用于请求建立该接入回传一体化节点和该目标宿主节点的集中式单元之间的无线资源控制连接;响应于该重建立请求消息,向该源宿主节点的集中式单元发送上下文请求消息,该上下文请求消息用于请求获取该接入回传一体化节点的上下文;该源宿主节点的集中式单元,还用于向该目标宿主节点的集中式单元发送该第二因特网协议地址,包括:该源宿主节点的集中式单元,还用于接收来自该目标宿主节点的该上下文请求消息;响应于该上下文请求消息,向该目标宿主节点的集中式单元发送上下文响应消息,该上下文响应消息包括该接入回传一体化节点的上下文,该上下文包括该第二因特网协议地址;该目标宿主节点的集中式单元,还用于接收来自该源宿主节点的集中式单元的该第二因特网协议地址,包括:该目标宿主节点的集中式单元,还用于接收来自该源宿主节点的集中式单元的该接入回传一体化节点的上下文,该上下文包括该第二因特网协议地址。
在上述方案中,在通过重建立流程将接入回传一体化节点从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元的情况下,源宿主节点的集中式单元可以在向目标宿主节点的集中式单元发送接入回传一体化节点的上下文时,在该上下文中携带第二因特网协议地址。
结合第一方面,在第一方面的某些实现方式中,该源宿主节点的集中式单元,还用于向该目标宿主节点的集中式单元发送密钥请求消息,该密钥请求消息用于请求获取该第一预共享密钥;该目标宿主节点的集中式单元,还用于接收来自该源宿主节点的集中式单元的该密钥请求消息。
在上述方案中,目标宿主节点的集中式单元可以根据源宿主节点的集中式单元的请求,向源宿主节点的集中式单元发送该第一预共享密钥。
结合第一方面,在第一方面的某些实现方式中,该通信系统还包括该接入回传一体化节点,该接入回传一体化节点用于根据该第一根密钥、该第一因特网协议地址和该第二因特网协议地址,推演得到第二预共享密钥,该第二预共享密钥与该第一预共享密钥相同;根据该第二预共享密钥对该源宿主节点的集中式单元进行安全认证,以建立该第一安全传输通道。
在上述方案中,接入回传一体化节点根据第一根密钥、第一因特网协议地址和第二因特网协议地址推演第二预共享密钥,即接入回传一体化节点和目标宿主节点的集中式单元使用相同的参数来推演预共享密钥,因此第一预共享密钥和第二预共享密钥相同,从而避免由于源宿主节点的集中式单元所使用的预共享密钥与接入回传一体化节点使用的预共享密钥不同,导致第一安全传输通道建立失败的情况。
结合第一方面,在第一方面的某些实现方式中,该接入回传一体化节点,还用于在根据该第一根密钥、该第一因特网协议地址和该第二因特网协议地址,推演得到第二预共享密钥之前,从该源宿主节点的集中式单元向该目标宿主节点的集中式单元进行迁移。
在上述方案中,接入回传一体化节点从源宿主节点的集中式单元向目标宿主节点的集中式单元进行了迁移。也就是说,本申请提供的该方案,可以应用于接入回传一体化节点发生了迁移的场景中。在接入回传一体化节点发生了迁移之后,与源宿主节点的集中式单元建立安全传输通道时,接入回传一体化节点和源宿主节点的集中式单元可以使用相同的预共享密钥建立第一安全传输通道,以避免由于源宿主节点的集中式单元所使用的预共享密钥与接入回传一体化节点使用的预共享密钥不同,导致第一安全传输通道建立失败的情况。
结合第一方面,在第一方面的某些实现方式中,该目标宿主节点的集中式单元,还用于接收到来自该接入回传一体化节点的迁移完成的消息,该迁移完成的消息用于指示该接入回传一体化节点完成从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移;响应于该迁移完成的消息,向接入和移动性管理功能网元发送路径转换请求消息,该路径转换请求消息包括该接入回传一体化节点的标识信息;接收来自该接入和移动性管理功能网元的路径转换响应消息,该路径转换响应消息包括下一跳参数;根据该下一跳参数推演得到该第一根密钥。
在上述方案中,目标宿主节点的集中式单元可以在接入回传一体化节点完成迁移之后,根据从接入和移动性管理功能网元获取的下一跳参数推演第一根密钥,以使得目标宿主节点的集中式单元推演第一预共享密钥所使用的根密钥,与接入回传一体化节点推演第二预共享密钥所使用的根密钥相同,从而保障第一预共享密钥和接入回传一体化节点推演的第二预共享密钥相同。
结合第一方面,在第一方面的某些实现方式中,该第一因特网协议地址,是在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之后,网络管理设备或者该目标宿主节点的集中式单元为该接入回传一体化节点的分布式单元生成的地址信息。
结合第一方面,在第一方面的某些实现方式中,该目标宿主节点的集中式单元,还用于,在该接入回传一体化节点从该源宿主节点的集中式单元迁移到该目标宿主节点的集中式单元之后,为该接入回传一体化节点的分布式单元生成该第一因特网协议地址。
结合第一方面,在第一方面的某些实现方式中,该目标宿主节点的集中式单元,还用于,向该接入回传一体化节点发送该第一因特网协议地址。
第二方面,提供了一种通信系统,应用于接入回传一体化节点从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元的场景下,该系统包括源宿主节点的集中式单元和接入回传一体化节点,该接入回传一体化节点,用于从该源宿主节点的集中式单元迁移至目标宿主节点的集中式单元;该源宿主节点的集中式单元,用于根据第二根密钥、该接入回传一体化节点的第一因特网协议地址和该源宿主节点的集中式单元的第二因特网协议地址,推演得到第三预共享密钥,该第二根密钥为该源宿主节点的集中式单元和该接入回传一体化节点共享的密钥;该接入回传一体化节点,用于根据该第二根密钥、该第一因特网协议地址和该第二因特网协议地址,推演得到第四预共享密钥,该第四预共享密钥和该第三预共享密钥相同;该源宿主节点的集中式单元,还用于根据该第三预共享密钥对该接入回传一体化节点进行安全验证,以建立该源宿主节点的集中式单元和该接入回传一体化节点之间的第一安全传输通道;该接入回传一体化节点,还用于根据该第四预共享密钥对该源宿主节点的集中式单元进行安全验证,以建立该第一安全传输通道。
在上述方案中,在接入回传一体化节点从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元之后,接入回传一体化节点和源宿主节点的集中式单元分别使用相同的参数推演第三预共享密钥和第四预共享密钥,因此第三预共享密钥和第四预共享密钥相同。进一步地,接入回传一体化节点和源宿主节点的集中式单元分别使用第三预共享密钥和第四预共享密钥建立第一安全传输通道,由此可以避免由于源宿主节点的集中式单元所使用的预共享密钥与接入回传一体化节点使用的预共享密钥不同,导致第一安全传输通道建立失败的情况,提高接入回传一体化节点和源宿主节点的集中式单元之间通信的安全性。
结合第二方面,在第二方面的某些实现方式中,该第二根密钥与第三根密钥相同,或者是通过该第三根密钥或下一跳参数推演得到的密钥,该第三根密钥是该接入回传一体化节点和该源宿主节点的集中式单元在该接入回传一体化节点通过该源宿主节点的集中式单元注册到网络的过程中获得的密钥。
结合第二方面,在第二方面的某些实现方式中,该第三根密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,推演用于建立该接入回传一体化节点和该源宿主节点的集中式单元之间的第二安全传输通道的第五预共享密钥。
结合第二方面,在第二方面的某些实现方式中,该源宿主节点的集中式单元,还用于保存该第二根密钥;该接入回传一体化节点,还用于保存该第二根密钥。
在上述方案中,接入回传一体化节点和源宿主节点可以预选保存第二根密钥,以便后续使用第二根密钥推演预共享密钥。
结合第二方面,在第二方面的某些实现方式中,该源宿主节点的集中式单元,还用于保存该第二根密钥,包括:该源宿主节点的集中式单元,还用于在满足第一预设条件的情况下,保存该第二根密钥;该接入回传一体化节点,还用于保存该第二根密钥,包括:该接入回传一体化节点,还用于在满足第二预设条件的情况下,保存该第二根密钥。
结合第二方面,在第二方面的某些实现方式中,该第一预设条件包括以下一项或多项:该源宿主节点的集中式单元确定该接入回传一体化节点为具有接入和回传功能的节点;该源宿主节点的集中式单元确定该接入回传一体化节点发生了迁移;该源宿主节点的集中式单元确定在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,该源宿主节点和该接入回传一体化节点建立的第二安全传输通道使用的是传输模式;该源宿主节点的集中式单元根据本地策略确定在该接入回传一体化节点发生了迁移之后,建立与该接入回传一体化节点之间的安全传输通道;该源宿主节点的集中式单元确定在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,使用由该第二根密钥推演得到的预共享密钥建立了该源宿主节点和该接入回传一体化节点之间的第二安全传输通道。
结合第二方面,在第二方面的某些实现方式中,该第二预设条件包括以下一项或多项:该接入回传一体化节点确定从该源宿主节点的集中式单元迁移到了该目标宿主节点的集中式单元;该接入回传一体化节点确定在从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,该接入回传一体化节点和该源宿主节点的集中式单元建立的第二安全传输通道使用的是传输模式;该接入回传一体化节点根据本地策略确定在发生迁移之后,建立与该源宿主节点的集中式单元之间的安全传输通道;该接入回传一体化节点确定在从该源宿主节点的集中式单元向目标宿主节点的集中式单元迁移之前,使用由该第二根密钥推演得到的预共享密钥建立了该源宿主节点和该接入回传一体化节点之间的第二安全传输通道。
结合第二方面,在第二方面的某些实现方式中,该源宿主节点的集中式单元,还用于保存与该第二根密钥对应的第一指示信息,该第一指示信息用于指示该第二根密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元迁移到该源宿主节点的集中式单元之后,推演预共享密钥;根据该第一指示信息,确定使用该第二根密钥推演该第三预共享密钥;该接入回传一体化节点,还用于保存与该第二根密钥对应的第二指示信息,该第二指示信息用于指示该第二根密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元迁移到该目标宿主节点的集中式单元之后,推演预共享密钥;根据该第二指示信息,确定使用该第二根密钥推演该第四预共享密钥。
在上述方案中,源宿主节点的集中式单元可以保存第一指示信息,以便在接入回传一体化节点发送迁移之后,根据第一指示信息确定使用第二根密钥推演预共享密钥。类似地,接入回传一体化节点可以保存第二指示信息,以便在发生迁移之后,根据第二指示信息确定使用第二根密钥推演预共享密钥。
结合第二方面,在第二方面的某些实现方式中,该源宿主节点的集中式单元,还用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之后,接收来自网络管理设备或该目标宿主节点的集中式单元的该第一因特网协议地址;该接入回传一体化节点,还用于在从该源宿主节点的集中式单元从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之后,接收来自网络管理设备或该目标宿主节点的集中式单元的该第一因特网协议地址。
第三方面,提供了一种通信系统,应用于接入回传一体化节点从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元的场景下,该系统包括源宿主节点的集中式单元和接入回传一体化节点,该接入回传一体化节点,用于在本地存储中确定第五预共享密钥,该第五预共享密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元向目标宿主节点的集中式单元迁移之前,建立该源宿主节点的集中式单元和该接入回传一体化节点之间的第二安全传输通道;该源宿主节点的集中式单元,用于在本地存储中确定该第五预共享密钥;该源宿主节点的集中式单元,还用于根据该第五预共享密钥对该接入回传一体化节点进行安全验证,以建立该接入回传一体化节点和该源宿主节点的集中式单元之间的第一安全传输通道;该接入回传一体化节点,还用于根据该第五预共享密钥对该源宿主节点的集中式单元进行安全验证,以建立该第一安全传输通道。
在上述方案中,在接入回传一体化节点从源宿主节点的集中式单元向目标宿主节点的集中式单元迁移之前,接入回传一体化节点和源宿主节点的集中式单元使用第五预共享密钥建立了第二安全传输通道。当接入回传一体化节点和源宿主节点的集中式单元需要建立第一安全通道的情况下,接入回传一体化节点和源宿主节点的集中式单元仍然使用第五预共享密钥建立该第一安全传输通道,从而可以避免由于源宿主节点的集中式单元所使用的预共享密钥与接入回传一体化节点使用的预共享密钥不同,导致第一安全传输通道建立失败的情况,可以提高源宿主节点的集中式单元与接入回传一体化节点之间通信的安全性。
结合第三方面,在第三方面的某些实现方式中,该接入回传一体化节点,还用于在本地存储中确定该第五预共享密钥之前,从该源宿主节点的集中式单元向该目标宿主节点的集中式单元进行迁移;该源宿主节点的集中式单元,还用于在本地存储中确定该第五与共享密钥之前,确定该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主的集中式单元进行了迁移。
结合第三方面,在第三方面的某些实现方式中,该接入回传一体化节点,还用于保存地址信息和该第五预共享密钥之间的对应关系,该地址信息包括该接入回传一体化节点的分布式单元的第一因特网协议地址和/或该源宿主节点的集中式单元的第二因特网协议地址;该接入回传一体化节点,用于在本地存储中确定该第五预共享密钥,包括:该接入回传一体化节点,用于在确定使用该地址信息建立该第二安全传输通道的情况下,根据该地址信息,以及本地存储的该地址信息和该第五预共享密钥之间的对应关系,确定该第五预共享密钥;该接入回传一体化节点,还用于向该源宿主节点的集中式单元发送请求消息,该请求消息包括该地址信息,该请求消息用于请求建立该第一安全传输通道;该源宿主节点的集中式单元,还用于保存该地址信息和该第五预共享密钥之间的对应关系;该源宿主节点的集中式单元,用于在本地存储中确定该第五预共享密钥,包括:该源宿主节点的集中式单元,用于接收来自该接入回传一体化节点的该请求消息;根据该地址信息,以及本地存储的该地址信息和该第五预共享密钥之间的对应关系,确定该第五预共享密钥。
在上述方案中,接入回传一体化节点和源宿主节点的集中式单元保存地址信息和预共享密钥之间的对应关系,以便确定使用该预共享密钥建立该地址信息对应的安全传输通道。
结合第三方面,在第三方面的某些实现方式中,该系统还包括该目标宿主节点的集中式单元,该目标宿主节点的集中式单元,用于向该接入回传一体化节点发送该地址信息和该接入回传一体化节点的第三因特网协议地址之间的对应关系,该第三因特网协议地址用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,推演该第五预共享密钥;该接入回传一体化节点,还用于保存地址信息和该第五预共享密钥之间的对应关系,包括:该接入回传一体化节点,还用于接收来自该目标宿主节点的集中式单元的该地址信息和该第三因特网协议地址之间的对应关系;根据该第三因特网协议地址确定与该第三因特网协议地址对应的该第五预共享密钥;保存该地址信息和该第五预共享密钥之间的对应关系;该目标宿主节点的集中式单元,用于向该源宿主节点的集中式单元发送该地址信息和该第三因特网协议地址之间的对应关系;该源宿主节点的集中式单元,还用于保存地址信息和该第五预共享密钥之间的对应关系,包括:该源宿主节点的集中式单元,还用于接收来自该目标宿主节点的集中式单元的该地址信息和该第三因特网协议地址之间的对应关系;根据该第三因特网协议地址确定与该第三因特网协议地址对应的该第五预共享密钥;保存该地址信息和该第五预共享密钥之间的对应关系。
第四方面,提供了一种通信方法,该方法应用于接入回传一体化节点的集中式单元从源宿主节点迁移到目标宿主节点的集中式单元的场景下,该方法可以由目标宿主节点的集中式单元执行,或者,也可以由目标宿主节点的集中式单元中的组成部件(例如芯片或者电路)执行,对此不作限定。为了方便,以目标宿主节点的集中式单元执行为例进行说明。
该方法包括:目标宿主节点的集中式单元根据第一根密钥、接入回传一体化节点的第一因特网协议地址和源宿主节点的集中式单元的第二因特网协议地址,推演得到第一预共享密钥,该第一预共享密钥用于建立该接入回传一体化节点和该源宿主节点的集中式单元之间的安全传输通道;该目标宿主节点的集中式单元向该源宿主节点的集中式单元发送该第一预共享密钥。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该目标宿主节点的集中式单元向该源宿主节点的集中式单元发送与该第一预共享密钥对应的地址信息,该地址信息包括该第一因特网协议地址和/或该第二因特网协议地址。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该目标宿主节点的集中式单元接收来自该源宿主节点的集中式单元的密钥请求消息,该密钥请求消息用于请求获取该第一预共享密钥。
结合第四方面,在第四方面的某些实现方式中,在该目标宿主节点的集中式单元根据第一根密钥、接入回传一体化节点的第一因特网协议地址和源宿主节点的集中式单元的第二因特网协议地址,推演得到第一预共享密钥之前,该方法还包括:该目标宿主节点的集中式单元接收来自该源宿主节点的集中式单元的该第二因特网协议地址。
结合第四方面,在第四方面的某些实现方式中,该目标宿主节点的集中式单元接收来自该源宿主节点的集中式单元的该第二因特网协议地址,包括:该目标宿主节点的集中式单元接收来自该源宿主节点的集中式单元的切换请求消息,该切换请求消息包括该第二因特网协议地址,该切换请求消息用于请求将该接入回传一体化节点从该源宿主节点的集中式单元切换到该目标宿主节点的集中式单元。
结合第四方面,在第四方面的某些实现方式中,该目标宿主节点的集中式单元接收来自该源宿主节点的集中式单元的该第二因特网协议地址,包括:该目标宿主节点的集中式单元接收来自该接入回传一体化节点的重建立请求消息,该重建立请求消息用于请求建立该接入回传一体化节点和该目标宿主节点的集中式单元之间的无线资源控制连接;响应于该重建立请求消息,该目标宿主节点的集中式单元向该源宿主节点的集中式单元发送上下文请求消息,该上下文请求消息用于请求获取该接入回传一体化节点的上下文;该目标宿主节点的集中式单元接收来自该源宿主节点的集中式单元的上下文响应消息,该上下文响应消息包括该接入回传一体化节点的上下文,该上下文包括该第二因特网协议地址。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:在该目标宿主节点的集中式单元接收到来自该接入回传一体化节点的用于指示该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移完成的消息之后,该目标宿主节点的集中式单元向接入和移动性管理功能网元发送路径转换请求消息,该路径转换请求消息包括该接入回传一体化节点的标识信息;该目标宿主节点的集中式单元接收来自该接入和移动性管理功能网元的路径转换响应消息,该路径转换响应消息包括下一跳参数;该目标宿主节点的集中式单元根据该下一跳参数推演得到该第一根密钥。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:在该接入回传一体化节点从该源宿主节点的集中式单元迁移到该目标宿主节点的集中式单元之后,该目标宿主节点的集中式单元为该接入回传一体化节点的分布式单元生成该第一因特网协议地址。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该目标宿主节点的集中式单元,向该接入回传一体化节点发送该第一因特网协议地址。
第五方面,提供了一种通信方法,该方法应用于接入回传一体化节点的集中式单元从源宿主节点迁移到目标宿主节点的集中式单元的场景下,该方法可以由源宿主节点的集中式单元执行,或者,也可以由源宿主节点的集中式单元中的组成部件(例如芯片或者电路)执行,对此不作限定。为了方便,以源宿主节点的集中式单元执行为例进行说明。
该方法包括:接收来自目标宿主节点的集中式单元的第一预共享密钥;根据该第一预共享密钥对该接入回传一体化节点进行安全验证,以建立该源宿主节点的集中式单元与该接入回传一体化节点之间的第一安全传输通道。
结合第五方面,在第五方面的某些实现方式中,该根据该第一预共享密钥对该接入回传一体化节点进行安全验证,以建立该源宿主节点的集中式单元与该接入回传一体化节点之间的第一安全传输通道,包括:在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之后,根据该第一预共享密钥对该接入回传一体化节点进行安全认证,以建立该第一安全传输通道。
例如,在源宿主节点的集中式单元接收到来自目标宿主节点的集中式单元的切换请求消息后,或者在接收到来自目标宿主节点的集中式单元的上下文请求消息后,源宿主节点的集中式单元根据该第一预共享密钥对该接入回传一体化节点进行安全认证,以建立该第一安全传输通道,其中,该切换请求消息用于请求将该接入回传一体化节点从该源宿主节点的集中式单元切换到该目标宿主节点的集中式单元,该上下文请求消息用于请求该接入回传一体化节点的上下文。
结合第五方面,在第五方面的某些实现方式中,该第一预共享密钥与第五预共享密钥不同,该第五预共享密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元迁移到该目标宿主节点的集中式单元之前,建立该源宿主节点的集中式单元和该接入回传一体化节点之间的第二安全传输通道。
结合第五方面,在第五方面的某些实现方式中,该方法还包括:接收来自该目标宿主节点的集中式单元的与该第一预共享密钥对应的地址信息,该地址信息包括该接入回传一体化节点的第一因特网协议地址和/或该目标宿主节点的集中式单元的第二因特网协议地址;保存该第一预共享密钥和该地址信息的对应关系。
结合第五方面,在第五方面的某些实现方式中,该根据该第一预共享密钥对该接入回传一体化节点进行安全验证,以建立该源宿主节点的集中式单元与该接入回传一体化节点之间的第一安全传输通道,包括:接收来自该接入回传一体化节点的请求消息,该请求消息用于请求建立该第一安全传输通道,该请求消息包括该地址信息;根据该地址信息,以及该第一预共享密钥和该地址信息的对应关系,确定该第一预共享密钥;根据该第一预共享密钥,对该接入回传一体化节点进行安全认证。
结合第五方面,在第五方面的某些实现方式中,在该接收来自目标宿主节点的集中式单元的第一预共享密钥之前,该方法还包括:向该目标宿主节点的集中式单元发送密钥请求消息,该密钥请求消息用于请求获取该第一预共享密钥。
结合第五方面,在第五方面的某些实现方式中,该方法还包括:向该目标宿主节点的集中式单元发送该源宿主节点的集中式单元的第二因特网协议地址,该第二因特网协议地址用于生成该第一预共享密钥。
结合第五方面,在第五方面的某些实现方式中,该向该目标宿主节点的集中式单元发送该源宿主节点的集中式单元的第二因特网协议地址,包括:向该目标宿主节点的集中式单元发送切换请求消息,该切换请求消息包括该第二因特网协议地址,该切换请求消息用于请求将该接入回传一体化节点从该源宿主节点的集中式单元切换到该目标宿主节点的集中式单元,该切换请求消息包括该第二因特网协议地址。
结合第五方面,在第五方面的某些实现方式中,该向该目标宿主节点的集中式单元发送该源宿主节点的集中式单元的第二因特网协议地址,包括:接收来自该目标宿主节点的上下文请求消息,该上下文请求消息用于请求该接入回传一体化节点的上下文;响应于该上下文请求消息,向该目标宿主节点的集中式单元发送上下文响应消息,该上下文响应消息包括该接入回传一体化节点的上下文,该上下文包括该第二因特网协议地址。
第六方面,提供了一种通信方法,该方法应用于接入回传一体化节点的集中式单元从源宿主节点迁移到目标宿主节点的集中式单元的场景下,该方法可以由源宿主节点的集中式单元执行,或者,也可以由源宿主节点的集中式单元中的组成部件(例如芯片或者电路)执行,对此不作限定。为了方便,以源宿主节点的集中式单元执行为例进行说明。
该方法包括:在接入回传一体化节点从该源宿主节点的集中式单元向目标宿主节点的集中式单元迁移之后,根据第二根密钥、该接入回传一体化节点的第一因特网协议地址和该源宿主节点的集中式单元的第二因特网协议地址,推演得到第三预共享密钥,该第二根密钥是为该源宿主节点的集中式单元和该接入回传一体化节点共享的密钥;根据该第三预共享密钥对该接入回传一体化节点进行安全验证,以建立该源宿主节点的集中式单元与该接入回传一体化节点之间的第一安全传输通道。
结合第六方面,在第六方面的某些实现方式中,该第二根密钥与第三根密钥相同,或者是通过该第三根密钥或下一跳参数推演得到的密钥,该第三根密钥为该源宿主节点的集中式单元在该接入回传一体化节点通过该源宿主节点的集中式单元注册到网络的过程中从该网络获取的密钥。
结合第六方面,在第六方面的某些实现方式中,该第三根密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,推演用于建立该接入回传一体化节点和该源宿主节点的集中式单元之间的第二安全传输通道的第五预共享密钥。
结合第六方面,在第六方面的某些实现方式中,在该根据第二根密钥、该接入回传一体化节点的第一因特网协议地址和该源宿主节点的集中式单元的第二因特网协议地址,推演得到第三预共享密钥之前,该方法还包括:保存该第二根密钥。
结合第六方面,在第六方面的某些实现方式中,该保存该第二根密钥,包括:在满足第一预设条件的情况下,保存该第二根密钥。
结合第六方面,在第六方面的某些实现方式中,该第一预设条件包括以下一项或多项:确定该接入回传一体化节点为具有接入和回传功能的节点;确定该接入回传一体化节点发生了迁移;确定在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,该源宿主节点和该接入回传一体化节点建立的第二安全传输通道使用的是传输模式;根据本地策略确定在该接入回传一体化节点发生了迁移之后,建立与该接入回传一体化节点之间的安全传输通道;确定在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,使用由该第二根密钥推演得到的预共享密钥建立了该源宿主节点和该接入回传一体化节点之间的第二安全传输通道。
结合第六方面,在第六方面的某些实现方式中,该方法还包括:保存与该第二根密钥对应的第一指示信息,该第一指示信息用于指示该第二根密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元迁移到该目标宿主节点的集中式单元之后,推演该第三预共享密钥;根据该第一指示信息,确定使用该第二根密钥推演该第三预共享密钥。
结合第六方面,在第六方面的某些实现方式中,该方法还包括:在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之后,接收来自网络管理设备或该目标宿主节点的集中式单元的该第一因特网协议地址。
第七方面,提供了一种通信方法,该方法应用于接入回传一体化节点的集中式单元从源宿主节点迁移到目标宿主节点的集中式单元的场景下,该方法可以由接入回传一体化节点执行,或者,也可以由接入回传一体化节点中的组成部件(例如芯片或者电路)执行,对此不作限定。为了方便,以接入回传一体化节点执行为例进行说明。
该方法包括:从源宿主节点的集中式单元向目标宿主节点的集中式单元进行迁移;根据第二根密钥、该接入回传一体化节点的第一因特网协议地址和该源宿主节点的集中式单元的第二因特网协议地址,推演得到第四预共享密钥,该第二根密钥为该源宿主节点的集中式单元和该接入回传一体化节点共享的密钥;根据该第四预共享密钥对该源宿主节点的集中式单元进行安全验证,以建立该源宿主节点的集中式单元与该接入回传一体化节点之间的第一安全传输通道。
结合第七方面,在第七方面的某些实现方式中,在该根据第二根密钥、该接入回传一体化节点的第一因特网协议地址和该源宿主节点的集中式单元的第二因特网协议地址,推演得到第四预共享密钥之前,该方法还包括:保存该第二根密钥。
结合第七方面,在第七方面的某些实现方式中,该保存该第二根密钥,包括:在满足第二预设条件的情况下,保存该第二根密钥。
结合第七方面,在第七方面的某些实现方式中,该第二预设条件包括以下一项或多项:确定从该源宿主节点的集中式单元迁移到了该目标宿主节点的集中式单元;确定在从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,该接入回传一体化节点和该源宿主节点的集中式单元建立的第二安全传输通道使用的是传输模式;根据本地策略确定在发生迁移之后,建立与该源宿主节点的集中式单元之间的安全传输通道;确定在从该源宿主节点的集中式单元向目标宿主节点的集中式单元迁移之前,使用由该第二根密钥推演得到的预共享密钥建立了该源宿主节点和该接入回传一体化节点之间的第二安全传输通道。
结合第七方面,在第七方面的某些实现方式中,该方法还包括:保存与该第二根密钥对应的第二指示信息,该第二指示信息用于指示该第二根密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元迁移到该目标宿主节点的集中式单元之后,推演该第四预共享密钥;根据该第二指示信息,确定使用该第二根密钥推演该第四预共享密钥。
结合第七方面,在第七方面的某些实现方式中,在该从源宿主节点的集中式单元向目标宿主节点的集中式单元进行迁移之后,该方法还包括:接收来自网络管理设备或该目标宿主节点的集中式单元的该第一因特网协议地址。
第八方面,提供了一种通信方法,该方法应用于接入回传一体化节点的集中式单元从源宿主节点迁移到目标宿主节点的集中式单元的场景下,该方法可以由源宿主节点的集中式单元执行,或者,也可以由源宿主节点的集中式单元中的组成部件(例如芯片或者电路)执行,对此不作限定。为了方便,以源宿主节点的集中式单元执行为例进行说明。
该方法包括:在本地存储中确定第五预共享密钥,该第五预共享密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元之前,建立该接入回传一体化节点和该源宿主节点的集中式单元之间的第二安全传输通道;根据该第五预共享密钥对该接入回传一体化节点进行安全验证,以建立该接入回传一体化节点与该源宿主节点的集中式单元之间的第一安全传输通道。
结合第八方面,在第八方面的某些实现方式中,在该在本地存储中确定第五预共享密钥之前,该方法还包括:确定该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主的集中式单元进行了迁移。
结合第八方面,在第八方面的某些实现方式中,在该在本地存储中确定第五预共享密钥之前,该方法还包括:保存地址信息和该第五预共享密钥之间对应关系,该地址信息包括该接入回传一体化节点的第一因特网协议地址和/或该源宿主节点的集中式单元的第二因特网协议地址;该在本地存储中确定第五预共享密钥,包括:接收来自该接入回传一体化节点的请求消息,该请求消息用于请求建立该第一安全传输通道,该请求消息包括该地址信息;根据该地址信息,以及本地存储中的该地址信息和该第五预共享密钥之间的对应关系,确定该第五预共享密钥。
结合第八方面,在第八方面的某些实现方式中,该保存地址信息和该第五预共享密钥之间的对应关系,包括:接收来自该目标宿主节点的集中式单元的该地址信息和第三因特网协议地址之间的对应关系,该第三因特网协议地址用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,推演该第五预共享密钥;根据该第三因特网协议地址确定与该第三因特网协议地址对应的该第五预共享密钥;保存该地址信息和该第五预共享密钥之间的对应关系。
第九方面,提供了一种通信方法,该方法应用于接入回传一体化节点的集中式单元从源宿主节点迁移到目标宿主节点的集中式单元的场景下,该方法可以由接入回传一体化节点执行,或者,也可以由接入回传一体化节点中的组成部件(例如芯片或者电路)执行,对此不作限定。为了方便,以接入回传一体化节点执行为例进行说明。
该方法包括:在本地存储中确定第五预共享密钥,该第五预共享密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元之前,建立该接入回传一体化节点和该源宿主节点的集中式单元之间的第二安全传输通道;根据该第五预共享密钥对该源宿主节点的集中式单元进行安全验证,以建立该接入回传一体化节点与该源宿主节点的集中式单元之间的第一安全传输通道。
结合第九方面,在第九方面的某些实现方式中,在该在本地存储中确定第五预共享密钥之前,该方法还包括:从该源宿主节点的集中式单元向该目标宿主节点的集中式单元进行迁移。
结合第九方面,在第九方面的某些实现方式中,在该在本地存储中确定第五预共享密钥之前,该方法还包括:保存地址信息和该第五预共享密钥之间对应关系,该地址信息包括该接入回传一体化节点的第一因特网协议地址和/或该源宿主节点的集中式单元的第二因特网协议地址;该在本地存储中确定第五预共享密钥,包括:在确定使用该地址信息建立该第一安全传输通道的情况下,根据该地址信息,以及本地存储中的该地址信息和该第五预共享密钥之间的对应关系,确定该第五预共享密钥。
结合第九方面,在第九方面的某些实现方式中,该保存地址信息和该第五预共享密钥之间的对应关系,包括:接收来自该目标宿主节点的集中式单元的该地址信息和第三因特网协议地址之间的对应关系,该第三因特网协议地址用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,推演该第五预共享密钥;根据该第三因特网协议地址确定与该第三因特网协议地址对应的该第五预共享密钥;保存该地址信息和该第五预共享密钥之间的对应关系。
第十方面,提供了一种通信装置,该装置包括:处理模块,用于根据第一根密钥、接入回传一体化节点的第一因特网协议地址和源宿主节点的集中式单元的第二因特网协议地址,推演得到第一预共享密钥,该第一预共享密钥用于建立该接入回传一体化节点和该源宿主节点的集中式单元之间的安全传输通道;收发模块,用于向该源宿主节点的集中式单元发送该第一预共享密钥。
结合第十方面,在第十方面的某些实现方式中,该收发模块,还用于向该源宿主节点的集中式单元发送与该第一预共享密钥对应的地址信息,该地址信息包括该第一因特网协议地址和/或该第二因特网协议地址。
结合第十方面,在第十方面的某些实现方式中,该收发模块,还用于接收来自该源宿主节点的集中式单元的密钥请求消息,该密钥请求消息用于请求获取该第一预共享密钥。
结合第十方面,在第十方面的某些实现方式中,该收发模块,还用于接收来自该源宿主节点的集中式单元的该第二因特网协议地址。
结合第十方面,在第十方面的某些实现方式中,该收发模块,具体用于接收来自该源宿主节点的集中式单元的切换请求消息,该切换请求消息包括该第二因特网协议地址,该切换请求消息用于请求将该接入回传一体化节点从该源宿主节点的集中式单元切换到该目标宿主节点的集中式单元。
结合第十方面,在第十方面的某些实现方式中,该收发模块,具体用于接收来自该接入回传一体化节点的重建立请求消息,该重建立请求消息用于请求建立该接入回传一体化节点和该目标宿主节点的集中式单元之间的无线资源控制连接;向该源宿主节点的集中式单元发送上下文请求消息,该上下文请求消息用于请求获取该接入回传一体化节点的上下文;接收来自该源宿主节点的集中式单元的上下文响应消息,该上下文响应消息包括该接入回传一体化节点的上下文,该上下文包括该第二因特网协议地址。
结合第十方面,在第十方面的某些实现方式中,该收发模块,还用于向接入和移动性管理功能网元发送路径转换请求消息,该路径转换请求消息包括该接入回传一体化节点的标识信息;接收来自该接入和移动性管理功能网元的路径转换响应消息,该路径转换响应消息包括下一跳参数;根据该下一跳参数推演得到该第一根密钥。
结合第十方面,在第十方面的某些实现方式中,该处理模块,还用于在该接入回传一体化节点从该源宿主节点的集中式单元迁移到该目标宿主节点的集中式单元之后,为该接入回传一体化节点的分布式单元生成该第一因特网协议地址。
结合第十方面,在第十方面的某些实现方式中,该收发模块,还用于向该接入回传一体化节点发送该第一因特网协议地址。
第十一方面,提供了一种通信装置,该装置包括:收发模块,用于接收来自目标宿主节点的集中式单元的第一预共享密钥;处理模块,用于根据该第一预共享密钥对该接入回传一体化节点进行安全验证,以建立该源宿主节点的集中式单元与该接入回传一体化节点之间的第一安全传输通道。
结合第十一方面,在第十一方面的某些实现方式中,该处理模块,具体用于根据该第一预共享密钥对该接入回传一体化节点进行安全认证,以建立该第一安全传输通道。
结合第十一方面,在第十一方面的某些实现方式中,该第一预共享密钥与第五预共享密钥不同,该第五预共享密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元迁移到该目标宿主节点的集中式单元之前,建立该源宿主节点的集中式单元和该接入回传一体化节点之间的第二安全传输通道。
结合第十一方面,在第十一方面的某些实现方式中,该收发模块,还用于接收来自该目标宿主节点的集中式单元的与该第一预共享密钥对应的地址信息,该地址信息包括该接入回传一体化节点的第一因特网协议地址和/或该目标宿主节点的集中式单元的第二因特网协议地址;保存该第一预共享密钥和该地址信息的对应关系。
结合第十一方面,在第十一方面的某些实现方式中,该收发模块,具体用于接收来自该接入回传一体化节点的请求消息,该请求消息用于请求建立该第一安全传输通道,该请求消息包括该地址信息;该处理模块,具体用于根据该地址信息,以及该第一预共享密钥和该地址信息的对应关系,确定该第一预共享密钥;该处理模块,具体还用于根据该第一预共享密钥,对该接入回传一体化节点进行安全认证。
结合第十一方面,在第十一方面的某些实现方式中,该收发模块,还用于向该目标宿主节点的集中式单元发送密钥请求消息,该密钥请求消息用于请求获取该第一预共享密钥。
结合第十一方面,在第十一方面的某些实现方式中,该收发模块,还用于向该目标宿主节点的集中式单元发送该源宿主节点的集中式单元的第二因特网协议地址,该第二因特网协议地址用于生成该第一预共享密钥。
结合第十一方面,在第十一方面的某些实现方式中,该收发模块,具体用于向该目标宿主节点的集中式单元发送切换请求消息,该切换请求消息包括该第二因特网协议地址,该切换请求消息用于请求将该接入回传一体化节点从该源宿主节点的集中式单元切换到该目标宿主节点的集中式单元,该切换请求消息包括该第二因特网协议地址。
结合第十一方面,在第十一方面的某些实现方式中,该收发模块,具体用于接收来自该目标宿主节点的上下文请求消息,该上下文请求消息用于请求该接入回传一体化节点的上下文;向该目标宿主节点的集中式单元发送上下文响应消息,该上下文响应消息包括该接入回传一体化节点的上下文,该上下文包括该第二因特网协议地址。
第十二方面,提供了一种通信装置,其特征在于,该装置包括:处理模块,用于在接入回传一体化节点从该源宿主节点的集中式单元向目标宿主节点的集中式单元迁移之后,根据第二根密钥、该接入回传一体化节点的第一因特网协议地址和该源宿主节点的集中式单元的第二因特网协议地址,推演得到第三预共享密钥,该第二根密钥是为该源宿主节点的集中式单元和该接入回传一体化节点共享的密钥;根据该第三预共享密钥对该接入回传一体化节点进行安全验证,以建立该源宿主节点的集中式单元与该接入回传一体化节点之间的第一安全传输通道。
结合第十二方面,在第十二方面的某些实现方式中,该第二根密钥与第三根密钥相同,或者是通过该第三根密钥或下一跳参数推演得到的密钥,该第三根密钥为该源宿主节点的集中式单元在该接入回传一体化节点通过该源宿主节点的集中式单元注册到网络的过程中从该网络获取的密钥。
结合第十二方面,在第十二方面的某些实现方式中,该第三根密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,推演用于建立该接入回传一体化节点和该源宿主节点的集中式单元之间的第二安全传输通道的第五预共享密钥。
结合第十二方面,在第十二方面的某些实现方式中,该处理模块,还用于保存该第二根密钥。
结合第十二方面,在第十二方面的某些实现方式中,该处理模块,具体用于在满足第一预设条件的情况下,保存该第二根密钥。
结合第十二方面,在第十二方面的某些实现方式中,该第一预设条件包括以下一项或多项:确定该接入回传一体化节点为具有接入和回传功能的节点;确定该接入回传一体化节点发生了迁移;确定在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,该源宿主节点和该接入回传一体化节点建立的第二安全传输通道使用的是传输模式;根据本地策略确定在该接入回传一体化节点发生了迁移之后,建立与该接入回传一体化节点之间的安全传输通道;确定在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,使用由该第二根密钥推演得到的预共享密钥建立了该源宿主节点和该接入回传一体化节点之间的第二安全传输通道。
结合第十二方面,在第十二方面的某些实现方式中,该处理模块,还用于保存与该第二根密钥对应的第一指示信息,该第一指示信息用于指示该第二根密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元迁移到该目标宿主节点的集中式单元之后,推演该第三预共享密钥;根据该第一指示信息,确定使用该第二根密钥推演该第三预共享密钥。
结合第十二方面,在第十二方面的某些实现方式中,该收发模块,还用于接收来自网络管理设备或该目标宿主节点的集中式单元的该第一因特网协议地址。
第十三方面,提供了一种通信装置,该装置包括:收发模块,用于从源宿主节点的集中式单元向目标宿主节点的集中式单元进行迁移;处理模块,用于根据第二根密钥、该接入回传一体化节点的第一因特网协议地址和该源宿主节点的集中式单元的第二因特网协议地址,推演得到第四预共享密钥,该第二根密钥为该源宿主节点的集中式单元和该接入回传一体化节点共享的密钥;处理模块,还用于根据该第四预共享密钥对该源宿主节点的集中式单元进行安全验证,以建立该源宿主节点的集中式单元与该接入回传一体化节点之间的第一安全传输通道。
结合第十三方面,在第十三方面的某些实现方式中,该处理模块,还用于保存该第二根密钥。
结合第十三方面,在第十三方面的某些实现方式中,该处理模块,具体用于在满足第二预设条件的情况下,保存该第二根密钥。
结合第十三方面,在第十三方面的某些实现方式中,该第二预设条件包括以下一项或多项:确定从该源宿主节点的集中式单元迁移到了该目标宿主节点的集中式单元;确定在从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,该接入回传一体化节点和该源宿主节点的集中式单元建立的第二安全传输通道使用的是传输模式;根据本地策略确定在发生迁移之后,建立与该源宿主节点的集中式单元之间的安全传输通道;确定在从该源宿主节点的集中式单元向目标宿主节点的集中式单元迁移之前,使用由该第二根密钥推演得到的预共享密钥建立了该源宿主节点和该接入回传一体化节点之间的第二安全传输通道。
结合第十三方面,在第十三方面的某些实现方式中,该处理模块,还用于保存与该第二根密钥对应的第二指示信息,该第二指示信息用于指示该第二根密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元迁移到该目标宿主节点的集中式单元之后,推演该第四预共享密钥;根据该第二指示信息,确定使用该第二根密钥推演该第四预共享密钥。
结合第十三方面,在第十三方面的某些实现方式中,该收发模块,还用于接收来自网络管理设备或该目标宿主节点的集中式单元的该第一因特网协议地址。
第十四方面,提供了一种通信装置,该装置包括:处理模块,用于在本地存储中确定第五预共享密钥,该第五预共享密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元之前,建立该接入回传一体化节点和该源宿主节点的集中式单元之间的第二安全传输通道;该处理模块,还用于根据该第五预共享密钥对该接入回传一体化节点进行安全验证,以建立该接入回传一体化节点与该源宿主节点的集中式单元之间的第一安全传输通道。
结合第十四方面,在第十四方面的某些实现方式中,该处理模块,具体用于确定该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主的集中式单元进行了迁移。
结合第十四方面,在第十四方面的某些实现方式中,该处理模块,还用于保存地址信息和该第五预共享密钥之间对应关系,该地址信息包括该接入回传一体化节点的第一因特网协议地址和/或该源宿主节点的集中式单元的第二因特网协议地址;该收发模块,具体用于接收来自该接入回传一体化节点的请求消息,该请求消息用于请求建立该第一安全传输通道,该请求消息包括该地址信息;该处理模块,具体用于根据该地址信息,以及本地存储中的该地址信息和该第五预共享密钥之间的对应关系,确定该第五预共享密钥。
结合第十四方面,在第十四方面的某些实现方式中,该收发模块,具体用于接收来自该目标宿主节点的集中式单元的该地址信息和第三因特网协议地址之间的对应关系,该第三因特网协议地址用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,推演该第五预共享密钥;该处理模块,具体用于根据该第三因特网协议地址确定与该第三因特网协议地址对应的该第五预共享密钥;保存该地址信息和该第五预共享密钥之间的对应关系。
第十五方面,提供了一种通信装置,该装置包括:处理模块,用于在本地存储中确定第五预共享密钥,该第五预共享密钥用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元之前,建立该接入回传一体化节点和该源宿主节点的集中式单元之间的第二安全传输通道;根据该第五预共享密钥对该源宿主节点的集中式单元进行安全验证,以建立该接入回传一体化节点与该源宿主节点的集中式单元之间的第一安全传输通道。
结合第十五方面,在第十五方面的某些实现方式中,该收发模块,还用于向该目标宿主节点的集中式单元进行迁移。
结合第十五方面,在第十五方面的某些实现方式中,该处理模块,还用于保存地址信息和该第五预共享密钥之间对应关系,该地址信息包括该接入回传一体化节点的第一因特网协议地址和/或该源宿主节点的集中式单元的第二因特网协议地址;该处理模块,具体用于在确定使用该地址信息建立该第一安全传输通道的情况下,根据该地址信息,以及本地存储中的该地址信息和该第五预共享密钥之间的对应关系,确定该第五预共享密钥。
结合第十五方面,在第十五方面的某些实现方式中,该收发模块,具体用于接收来自该目标宿主节点的集中式单元的该地址信息和第三因特网协议地址之间的对应关系,该第三因特网协议地址用于在该接入回传一体化节点从该源宿主节点的集中式单元向该目标宿主节点的集中式单元迁移之前,推演该第五预共享密钥;根据该第三因特网协议地址确定与该第三因特网协议地址对应的该第五预共享密钥;保存该地址信息和该第五预共享密钥之间的对应关系。
第十六方面,提供了一种通信装置,该装置用于执行上述第四方面至第九方面提供的任一方法。具体地,该装置可以包括用于执行第四方面至第九方面提供的方法的单元和/或模块,如处理模块和/或收发模块(也可以成为通信模块)。
在一种实现方式中,该装置为网络设备,例如,该装置为目标宿主节点的集中式单元或源宿主节点的集中式单元。当该装置为网络设备时,通信模块可以是收发器,或,输入/输出接口;处理模块可以是处理器。
例如,该装置为用于目标宿主节点的集中式单元的芯片、芯片系统或电路。当该装置为用于目标宿主节点的集中式单元中的芯片、芯片系统或电路时,收发模块可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等;处理模块可以是处理器、处理电路或逻辑电路等。
一种可能情况,该装置为目标宿主节点的集中式单元或目标宿主节点的集中式单元中的芯片、芯片系统或电路。在该情况下,该装置可以包括用于执行第四方面提供的方法的单元和/或模块,如处理模块和/或收发模块。
又例如,该装置为用于源宿主节点的集中式单元的芯片、芯片系统或电路。当该装置为用于源宿主节点的集中式单元中的芯片、芯片系统或电路时,收发模块可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等;处理模块可以是处理器、处理电路或逻辑电路等。
一种可能情况,该装置为源宿主节点的集中式单元的芯片、芯片系统或电路。在该情况下,该装置可以包括用于执行第五方面、第六方面、第八方面中任一方面提供的方法的单元和/或模块,如处理模块和/或收发模块。
在另一种实现方式中,该装置为接入回传一体化节点。当该装置为接入回传一体化节点时,通信单元可以是收发器,或,输入/输出接口;处理单元可以是处理器。
一种可能情况,该装置为接入回传一体化节点或接入回传一体化节点中的芯片、芯片系统或电路。在该情况下,该装置可以包括用于执行第七方面或第九方面提供的方法的单元和/或模块,如处理模块和/或收发模块。
可选地,上述收发器可以为收发电路。可选地,上述输入/输出接口可以为输入/输出电路。
可选地,上述收发器可以为收发电路。可选地,上述输入/输出接口可以为输入/输出电路。
第十七方面,提供一种通信装置,该装置包括:存储器,用于存储程序;处理器,用于执行存储器存储的程序,当存储器存储的程序被执行时,处理器用于执行上述第四方面至第九方面提供的任一方法。
第十八方面,本申请提供一种处理器,用于执行上述各方面提供的方法。在执行这些方法的过程中,上述方法中有关发送上述信息和获取/接收上述信息的过程,可以理解为由处理器输出上述信息的过程,以及处理器接收输入的上述信息的过程。在输出上述信息时,处理器将该上述信息输出给收发器,以便由收发器进行发射。该上述信息在由处理器输出之后,还可能需要进行其他的处理,然后再到达收发器。类似的,处理器接收输入的上述信息时,收发器获取/接收该上述信息,并将其输入处理器。更进一步的,在收发器收到该上述信息之后,该上述信息可能需要进行其他的处理,然后再输入处理器。
基于上述原理,举例来说,前述方法中提及的接收请求消息可以理解为处理器接收输入的信息。
对于处理器所涉及的发射、发送和获取/接收等操作,如果没有特殊说明,或者,如果未与其在相关描述中的实际作用或者内在逻辑相抵触,则均可以更加一般性的理解为处理器输出和接收、输入等操作,而不是直接由射频电路和天线所进行的发射、发送和接收操作。
在实现过程中,上述处理器可以是专门用于执行这些方法的处理器,也可以是执行存储器中的计算机指令来执行这些方法的处理器,例如通用处理器。上述存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
第十九方面,提供一种计算机可读存储介质,该计算机可读介质存储用于设备执行的程序代码,该程序代码包括用于执行上述第四方面至第九方面提供的任一方法。
第二十方面,提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第四方面至第九方面提供的任一方法。
第二十一方面,提供一种芯片,该芯片包括处理器与通信接口,该处理器通过该通信接口读取存储器上存储的指令,执行上述第四方面至第九方面提供的任一方法。
可选地,作为一种实现方式,该芯片还可以包括存储器,该存储器中存储有指令,该处理器用于执行该存储器上存储的指令,当该指令被执行时,该处理器用于执行上述第四方面至第九方面提供的任一方法。
附图说明
图1是适用于本申请实施例的一种集中式单元控制面实体和集中式单元用户面实体分离的架构示意图。
图2是适用于本申请的技术方案的IAB系统的架构图。
图3为多跳IAB网络的用户面协议栈架构的一种示例。
图4为多跳IAB网络的控制面协议栈架构的一种示例。
图5示出了本申请实施例提供的方法500的示意性流程图。
图6示出了一种迁移IAB节点在迁移前后,与源宿主-CU和目标宿主-CU之间的连接关系。
图7示出了本申请实施例提供的方法700的示意性流程图。
图8示出了本申请实施例提供的方法800的示意性流程图。
图9示出了本申请实施例提供的方法900的示意性流程图。
图10示出了本申请实施例提供的方法1000的示意性流程图。
图11示出了本申请实施例提供的方法1100的示意性流程图。
图12示出了本申请实施例提供的方法1200的示意性流程图。
图13示出了本申请实施例提供的方法1300的示意性流程图。
图14示出了本申请实施例提供的方法1400的示意性流程图。
图15是本申请一个实施例提供的通信装置的示意性框图。
图16是本申请另一个实施例提供的通信装置的示意性框图。
图17是本申请又一个实施例提供的通信装置的示意性框图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
可以理解的是,在本申请中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”以及其他各种术语标号等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请实施例可以应用于各种通信系统,例如无线局域网系统(wireless localarea network,WLAN)、窄带物联网系统(narrow band-internet of things,NB-IoT)、全球移动通信系统(global system for mobile communications,GSM)、增强型数据速率GSM演进系统(enhanced data rate for gsm evolution,EDGE)、宽带码分多址系统(widebandcode division multiple access,WCDMA)、码分多址2000系统(code division multipleaccess,CDMA2000)、时分同步码分多址系统(time division-synchronization codedivision multiple access,TD-SCDMA),长期演进系统(long term evolution,LTE)、卫星通信、第五代(5th generation,5G)系统或者将来出现的新的通信系统等。
本申请实施例中所涉及到的终端设备可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备。终端可以是移动台(mobile station,MS)、用户单元(subscriber unit)、用户设备(userequipment,UE)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant,PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handset)、膝上型电脑(laptop computer)、机器类型通信(machinetype communication,MTC)终端等。
本申请实施例中的网络设备可以是用于与终端设备通信的设备,该网络设备可以是全球移动通讯(global System of mobile communication,GSM)系统或码分多址(codedivision multiple access,CDMA)中的基站(base transceiver station,BTS),也可以是宽带码分多址(wideband code division multiple access,WCDMA)系统中的基站(NodeB,NB),还可以是LTE系统中的演进型基站(evolutional NodeB,eNB或eNodeB),还可以是5G系统下的基站(gNB),还可以是云无线接入网络(cloud radio access network,CRAN)场景下的无线控制器,或者该网络设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等,本申请实施例并不限定。
在本申请实施例中,终端设备或网络设备包括硬件层、运行在硬件层之上的操作系统层,以及运行在操作系统层上的应用层。该硬件层包括中央处理器(centralprocessing unit,CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统,例如,Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且,本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是终端设备或网络设备,或者,是终端设备或网络设备中能够调用程序并执行程序的功能模块。
另外,本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatile disc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasable programmableread-only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
5G技术中,接入网设备(例如,gNB)可以由一个gNB集中式单元(centralizedunit,CU)和一个或者多个gNB分布式单元(distributed unit,DU)构成。gNB-CU和gNB-DU是不同的逻辑节点,可以部署在不同的物理设备上,或者部署在相同的物理设备上。
如果考虑控制面和用户面分离架构,gNB-CU可以进一步划分为集中式单元控制面(central unit-control plane,CU-CP)实体(或者也可称为CU-CP节点)和集中式单元用户面(central unit-user plane,CU-UP)实体(或者也可称为CU-UP节点)。其中,gNB-CU-CP为控制面实体,用于提供信令控制,gNB-CU-UP为用户面实体,用于提供终端设备数据的传输。gNB-CU-CP和gNB-CU-UP之间通过E1接口相连,gNB-CU-CP与gNB-DU之间通过F1-C接口相连,gNB-CU-UP与gNB-DU之间通过F1-U接口相连。其结构如图1所示。
针对如图1所示的架构,还具有如下的特性:
一个gNB会包含一个gNB-CU-CP、多个gNB-CU-UP、多个gNB-DU;
一个gNB-DU只可以连接一个gNB-CU-CP;
一个gNB-CU-UP只可以连接一个gNB-CU-CP;
一个gNB-DU在同一个gNB-CU-CP的控制下可以连接到多个gNB-CU-UP;
一个gNB-CU-UP在同一个gNB-CU-CP的控制下可以连接到多个gNB-DU。
应理解,图1只是示例性的,不应该对gNB的架构产生任何限定。例如,在CU-DU分离以及CP-UP分离的架构下,gNB可以只包括一个gNB-CU-UP、一个gNB-CU-CP、一个gNB-DU,或者,还可以包括更多的gNB-CU-UP和gNB-DU。本申请在此不作限制。
相较于第四代移动通信系统,5G针对网络各项性能指标,全方位的都提出了更严苛的要求。例如,容量指标提升1000倍,更广的覆盖需求、超高可靠超低时延等。一方面,考虑到高频载波频率资源丰富,在热点区域,为满足5G超高容量需求,利用高频小站组网愈发流行。高频载波传播特性较差,受遮挡衰减严重,覆盖范围不广,故而需要大量密集部署小站,相应地,为这些大量密集部署的小站提供光纤回传的成本高,施工难度大,因此需要经济便捷的回传方案;另一方面,从广覆盖需求的角度出发,在一些偏远地区提供网络覆盖,光纤的部署难度大,成本高,也需要设计灵活便利的接入和回传方案。
接入回传一体化(integrated access and backhaul,IAB)技术为解决上述问题提供了思路,其接入链路(access link)和回传链路(backhaul link)皆采用无线传输方案,可以避免光纤部署。如图2所示,示出了无线中继场景示意图。在IAB网络中,中继节点(relay node,RN)可以称为IAB节点,可以为用户设备(user equipment,UE)提供无线接入服务,UE的业务传输由IAB节点通过无线回传链路连接到的IAB宿主节点(donor node)传输,宿主节点也称为宿主基站(donor gnodeB,DgNB)。IAB节点可以扮演移动终端(mobiletermination,MT)和DU两个角色;当IAB节点面向其父节点时,其可以被视为终端设备,即MT的角色,其中父节点可能是宿主基站;当IAB节点面向其子节点时,该IAB节点可以被视为网络设备,即DU的角色,其中,子节点可能是另一IAB节点或者普通UE。宿主基站可以是一个具有完整基站功能的接入网网元,可以是集中式单元和分布式单元分离形态的接入网网元。宿主基站连接到为UE服务的核心网网元,例如连接到5G核心网,为IAB节点提供无线回传功能。为了便于表述,将宿主基站的集中式单元简称为donor CU或者直接称为CU,宿主基站的分布式单元简称为donor DU或者直接称为DU,其中donor CU还有可能是控制面(controlplane,CP)和用户面(user plane,UP)分离的形态,例如:CU可由一个CU-CP和一个或多个CU-UP组成。
如图3和图4所示,在IAB节点(IAB-DU)和宿主节点(IAB-donor-CU)之间,需要建立F1接口(或者被称为F1*接口,本文中,可统一称为F1接口,但对名称并不做限定),该接口支持用户面协议(F1-U/F1*-U)和控制面协议(F1-C/F1*C)。其中,用户面协议包括以下协议层的一个或多个:通用分组无线服务隧道协议用户面(general packet radio servicetunneling protocol user plane,GTP-U)层、用户数据报协议(user datagram protocol,UDP)层、因特网协议(internet network,IP)层、L2层(layer 2)、L1层(layer1)、无线链路控制(radio link control,RLC)层、媒介接入控制(medium access control,MAC)层、物理(physical,PHY)层、回传自适应协议(backhaul adaptation protocol,BAP)层。控制面协议包括以下协议层的一个或多个:F1应用协议(F1 application protocol,F1AP)层、流控传输协议(stream control transport protocol,SCTP)层、IP层、L2层、L1层、RLC层、MAC层、PHY层、BAP层。
图3和图4中IAB节点2和IAB节点1之间的无线回传链路、以及IAB节点1和IAB宿主DU之间的无线回传链路可以称为无线回传无线链路控制信道(backhaul radio linkcontrol channel,BH RLC CH)。
通过F1接口的控制面,IAB节点和IAB宿主之间可以进行执行接口管理、对IAB-DU进行管理,以及执行UE上下文相关的配置等。通过F1接口的用户面,IAB节点和IAB宿主之间可以执行用户面数据的传输,以及下行传输状态反馈等功能。
为了保护F1接口的安全,IAB节点和IAB宿主之间可以建立安全传输通道,如IPSec通道。然而在一些情况下,IAB节点和IAB宿主之间的安全传输通道可能会建立失败,从而导致IAB节点和IAB宿主之间的通信存在安全风险。下面首先结合图5中的方法500介绍该问题可能存在的一种场景。
方法500主要包括以下步骤:
S501,迁移IAB节点的注册流程。
示例性地,迁移IAB节点(migration IAB Node)通过源路径(source Path)接入源宿主-CU(source donor-CU),并在核心网完成注册。
其中,迁移IAB节点代表本实施例中会发生迁移的IAB节点,该名称仅作为一种示例,本申请实施例中的迁移IAB节点也可以替换为IAB节点。IAB节点发生迁移指的是IAB节点(具体可以指的是IAB节点的MT部分)从一个宿主的集中式单元,切换或重建立到另一个宿主的集中式单元,具体过程可参考S504部分的描述;该源路径代表迁移IAB节点和源宿主-CU之间的传输路径,或者说,该源路径代表迁移IAB节点和源宿主-CU之间传输路径上的节点,例如,该源路径包括源宿主-DU(source donor-DU),可选地还包括当前IAB节点(parent IAB节点)和/或中间跳IAB节点(intermediate hop IAB node)。
下面对具体过程作示例性说明:
迁移IAB节点的MT部分(记作IAB-MT)向源宿主-DU发送RRC建立请求(RRC setuprequest)消息以触发RRC建立过程。可以理解的是,本申请实施例中的源宿主指的是迁移IAB节点在发生迁移之前所接入的宿主节点,该名称仅作为一种示例。还可以理解的是,IAB-MT具有UE的部分或全部功能,在迁移IAB节点开机后,IAB-MT选择支持IAB业务的宿主(即本申请实施例中的源宿主)接入;源宿主-DU接收该RRC建立请求消息后,向源宿主-CU的控制面(control plane,CP)实体(记为源宿主-CU-CP)发送初始上行(uplink,UL)RRC消息传输(initial UL RRC message transfer);然后源宿主-CU-CP向源宿主-DU发送下行(downlink,DL)消息传输(DL message transfer);源宿主-DU向IAB-MT发送RRC建立(RRCsetup)消息。
进一步地,IAB-MT向源宿主-DU发送RRC建立完成(RRC setup complete)消息,该RRC建立完成消息中携带IAB指示(IAB-indication),该IAB-indication用于指示当前节点(即迁移IAB节点)为IAB节点。源宿主-CU接收到该RRC完成消息之后,可以将该RRC消息中携带的IAB-indication保存在迁移IAB节点的上下文中。源宿主-CU-CP向接入和移动性管理功能(access and mobility management function,AMF)网元发送初始UE消息(initialUE message),该初始UE消息中携带“IAB-indication”信元。
然后核心网和迁移IAB节点之间执行鉴权流程,在鉴权通过后,核心网校验签约数据,判断该迁移IAB节点是否属于IAB节点。如果迁移IAB节点属于IAB节点,AMF向源宿主-CU-CP发送初始上下文建立请求(initial context setup request)消息,并在该初始上下文建立请求消息中携带“IAB授权(IAB-authorized)”信息,该“IAB-authorized”信息用于指示核心网已授权该迁移IAB节点为IAB节点。该初始上下文建立请求消息中还携带有源宿主的根密钥,记为KgNB#1,这里的KgNB#1是由AMF推演得到的、用于生成保护空口安全的加密密钥和完整性密钥的根密钥。源宿主-CU-CP接收到初始上下文建立请求消息之后,将初始上下文建立请求消息中携带的KgNB#1保存到迁移IAB节点的上下文中。对应地,迁移IAB节点根据USIM中预置的密钥推演得到相同的KgNB#1。
进一步地,迁移IAB节点和源宿主-CU执行安全算法和安全密钥的协商流程等,具体过程本申请不作限定。
S502,迁移IAB节点和源宿主-CU建立F1接口,并协商建立IPSec通道#1。
示例性的,迁移IAB节点在完成注册流程之后,获取迁移IAB节点的IP地址(记作IP地址#1)和源宿主-CU的IP地址(记作IP地址#2)。可以理解的是,本申请实施例中的迁移IAB节点的IP地址,指的是迁移IAB节点的分布式单元(IAB-DU)的IP地址,或者说是用于迁移IAB节点(具体可以是IAB-DU)和宿主-CU建立F1接口的IP地址,后续类似地方不再重复说明。还可以理解的是,IP地址#1可以包括一个或多个IP地址,IP地址#2也可以包括一个或多个IP地址,此处不作限定。
作为一个示例,迁移IAB节点通过核心网与OAM建立PDU会话之后,通过用户面从OAM获取IP地址#1和IP地址#2。
作为另一个示例,迁移IAB节点从源宿主-CU-CP获取IP地址#1和IP地址#2。具体例如,源宿主-CU-CP与OAM建立IP连接之后,从OAM获取IP地址#1和IP地址#2;进一步地,源宿主-CU-CP向迁移IAB节点发送RRC消息,该RRC消息包括IP地址#1和IP地址#2。
迁移IAB节点以KgNB#1作为输入密钥,以IP地址#1和IP地址#2作为输入参数,推演得到KIAB#1。
相应地,源宿主-CU-CP以KgNB#1作为输入密钥,以IP地址#1和IP地址#2作为输入参数,推演得到相同的KIAB#1。
迁移IAB节点(具体可以是IAB-DU)通过源路径与源宿主-CU建立F1接口,并协商建立F1接口的安全传输通道。本申请对安全传输通道的类型不作限定,在一种示例中,可以基于IPSec协议建立安全传输通道(称为IPSec通道),也可以基于TLS协议或其他协议建立安全传输通道。为了方便说明,后续实施例以安全传输通道为IPSec通道为例进行说明,并将迁移IAB节点和源宿主-CU在S502建立的IPSec通道记为IPSec通道#1。迁移IAB节点和源宿主-CU协商建立IPSec通道#1过程使用的认证凭证为KIAB#1,即迁移IAB节点与源宿主-CU将KIAB#1作为预共享密钥(pre-shared secret key,psk)协商建立IPSec通道#1。为了方便说明,将这里的psk记作psk#1。
迁移IAB节点与源宿主-CU建立IPSec通道#1之后,源宿主-CU可以通过F1接口向迁移IAB节点配置参数。源宿主-CU通过F1接口向迁移IAB节点配置参数后,迁移IAB节点可以向UE提供移动网络服务。
可选地,S503,UE和核心网(core network,CN)之间通过迁移IAB节点、源路径和源宿主-CU进行数据传输。
示例性地,UE通过迁移IAB节点接入网络,并进行认证,具体过程本申请不作限定。之后,UE可以和CN之间通过迁移IAB节点、源路径和源宿主-CU进行数据传输。
可以理解的是,通过上述流程,迁移IAB节点(具体可以指的是IAB-MT)与源宿主-CU建立了RRC连接,并且该迁移IAB节点(具体可以指的是IAB-DU)与源宿主-CU建立了F1接口。下面结合图6中的(a)介绍迁移IAB节点和源宿主之间的一种可能的连接关系。从图6的(a)中可以看出,迁移IAB节点包括IAB-MT以及一个或多个IAB-DU,迁移IAB节点和源宿主之间还可能存在其他IAB节点(例如图中IAB’节点),驻留在迁移IAB节点上的UE通过该迁移IAB节点连接到源宿主,从而可以通过该源宿主接入到核心网。可选地,迁移IAB节点也可以作为其他UE的中间节点,例如在图6的(a)中,UE’通过IAB”节点以及迁移IAB节点等接入源宿主。在进行数据传输时,源宿主-CU将下行数据通过源宿主-DU、(可选的)IAB’节点、迁移IAB节点发送给UE。
S504,迁移IAB节点迁移到目标宿主-CU。
示例性地,在迁移IAB节点与源宿主之间信号质量较差或者信号中断的情况下,迁移IAB节点可以从源宿主-CU迁移到目标宿主-CU。其中,迁移IAB节点从源宿主-CU迁移到目标宿主-CU可以指的是:迁移IAB节点的MT部分(记为IAB-MT)将RRC连接从源宿主-CU迁移到目标宿主-CU,迁移IAB节点的DU部分(IAB-DU)仍维持与源宿主-CU的F1连接(F1connection)(迁移IAB节点的DU部分需要通过目标路径与源宿主-CU重新建立F1接口)。
下面对迁移IAB节点进行迁移的具体实现方式作示例性说明。
迁移IAB节点(具体可以是IAB-MT)选择目标路径(target path)接入目标宿主-CU,该目标路径代表迁移IAB节点和目标宿主-CU之间的传输路径,或者说,该目标路径代表迁移IAB节点和目标宿主-CU之间传输路径上的节点,例如,该目标路径包括目标宿主-DU(target donor-DU),可选地还包括当前IAB节点(parent IAB node)和/或中间跳IAB节点(intermediate hop IAB node)。具体地,迁移IAB节点可以通过切换流程或者或者RRC重建立流程连接到目标宿主-CU。下面针对这两种场景分别作示例性说明。
在切换场景下(即迁移IAB节点通过切换流程连接到目标宿主-CU,例如可以是Xn切换流程,或者是N2切换流程等,本申请不作限定),源宿主-CU根据KgNB#1或者下一跳(next hop,NH)参数(记为NH#1)推演得到KgNB#2,然后向目标宿主-CU发送切换请求(handover request)消息,该切换请求消息中携带该KgNB#2和下一跳链计数器(next hopchaining counter,NCC)#1,该切换请求消息用于请求将迁移IAB节点从源宿主-CU迁移到目标宿主-CU。对应地,目标宿主-CU接收来自源宿主-CU的切换请求消息,并向源宿主-CU发送切换请求ACK消息以指示消息接收成功,该ACK消息中携带NCC#1。源宿主-CU接收到来自目标宿主-CU的该ACK消息后,删除KgNB#1。
进一步地,源宿主-CU向迁移IAB节点发送重配置消息,该重配置消息中携带NCC#1,迁移IAB节点接收来自源宿主-CU的该重配置消息后,根据NCC#1计算相同的KgNB#2,并向目标宿主-CU回复切换完成消息,然后迁移IAB节点删除KgNB#1。目标宿主-CU接收来自迁移IAB节点的切换完成消息之后,向AMF发送路径转换请求消息,AMF接收到该路径转换请求消息之后,向目标宿主-CU发送路径转换请求确认(ACK)消息,该路径转换请求确认消息中携带NCC#2和NH#2。目标宿主-CU接收来自AMF的该路径转换请求消息,然后根据该路径转换请求消息中携带的NH#2计算KgNB#3,并且向迁移IAB节点发送重配置消息,该重配置消息中携带NCC#2。迁移IAB节点接收来自目标宿主-CU的该重配置消息后,根据NCC#2计算相同的KgNB#3。
在重建立场景下(即迁移IAB节点通过RRC重建立流程连接到目标宿主-CU),迁移IAB节点向目标宿主-CU发送重建立请求消息,目标宿主-CU接收到来自迁移IAB节点的该重建立请求消息之后,向源宿主-CU发送上下文请求消息,该上下文请求消息用于请求获取迁移IAB节点的上下文。源宿主-CU接收来自目标宿主-CU的该上下文请求消息后,根据KgNB#1或者下一跳参数NH#1推演得到KgNB#2然后源宿主-CU向目标宿主-CU发上下文响应消息,该上下文响应消息中携带了迁移IAB节点的上下文,以及KgNB#2和NCC#1,可以理解的是,KgNB#2和NCC#1可以包括在迁移IAB节点的上下文中,也可以是独立于IAB节点的上下文的信元。然后源宿主-CU删除KgNB#1。
进一步地,目标宿主-CU向UE发送重配置消息,该重配置消息中携带NCC#1,迁移IAB节点根据NCC#1计算KgNB#2,然后向目标宿主-CU发送重配置完成消息;然后目标宿主-CU向AMF发送路径转换请求消息,AMF接收来自该目标宿主-CU的该路径转换请求消息后,向目标宿主-CU发送路径转换请求ACK消息,消息中携带NCC#2和NH#2。目标宿主-CU根据NH#2计算KgNB#3,并且向迁移IAB节点发送重配置消息,该重配置消息中携带NCC#2。迁移IAB节点接收来自目标宿主-CU的该重配置消息后,根据NCC#2计算KgNB#3。
S505,目标宿主-CU获取IP地址#3。例如,目标宿主-CU可以自己生成IP地址#3。
示例性地,在迁移IAB节点迁移到目标宿主-CU之后,目标宿主-CU为IAB-DU生成新的IP地址#3,该IP地址#3用于迁移IAB节点通过目标路径与源宿主-CU建立连接。作为一种示例,在切换场景下,目标宿主-CU在接收到来自迁移IAB节点的迁移完成消息后,生成该IP地址#3;作为另一种示例,在重建立场景下,目标宿主-CU接收来自迁移IAB节点的重配置完成消息之后,生成该IP地址#3。
作为另一种实现方案,还可以由OAM生成该IP地址#3之后,发送给目标宿主-CU。
S506,目标宿主-CU向迁移IAB节点发送RRC消息,该RRC消息中携带IP地址#3。该RRC消息具体可以是RRC重配置(RRC Reconfiguration)消息。
可以理解的是,S505和S506可以是独立于S504的步骤,也可以是S504(即切换过程或重建立过程)中的部分步骤。
S507,源宿主-CU获取所述IP地址#3。例如,目标宿主-CU向源宿主-CU发送IAB传输迁移消息,该IAB传输迁移消息包括IP地址#3。
示例性地,目标宿主-CU获取IP地址#3之后,向源宿主-CU发送IAB传输迁移消息(IAB transport migration message),该IAB传输迁移消息包括IP地址#3。源宿主-CU接收该IAB传输迁移消息之后,从该IAB传输迁移消息中获取该IP地址#3。
可以理解的是,源宿主-CU还可能通过其他方式获取IP地址#3。例如,迁移IAB节点从目标宿主-CU获取IP地址#3之后,向源宿主-CU上报该IP地址#3,源宿主-CU从迁移IAB节点接收该IP地址#3。
S508,可选地,MOBIKE流程。
可选地,迁移IAB节点可以通过源宿主-CU执行MOBIKE流程。
在IPSec通道#1使用传输模式(transport mode)的情况下,迁移IAB节点和源宿主-CU,需要重新建立IPsec通道,即需要执行S510-S512,在这种情况下可以不执行S508。
在IPSec通道#1使用隧道模式(tunnel mode)的情况下,迁移IAB节点可以选择重新建立IPSec通道,即执行S510-S512,在这种情况下可以不执行S508;或者,迁移IAB节点也可以选择在原有IPSec通道#1上进行IP地址迁移(即执行MOBIKE流程)。MOBIKE流程可以包括初始IKE交换(Initial IKE Exchange)、MOBIKE信令支持(Signaling Support forMOBIKE)、初始隧道头地址(Initial Tunnel Header Addresses)、附加地址(AdditionalAddresses)、更改IPsec SAs中的地址(Changing Addresses in IPsec SAs)等流程,具体可参考现有协议,本申请不作限定。
如果MOBIKE流程失败,则源宿主-CU向IAB节点发送用于指示MOBIKE流程失败的指示信息。
可选地,S509,迁移IAB节点和源宿主-CU执行F1AP gNB-CU配置更新流程(F1APgNB-CU Configuration Update procedure)。
示例性地,如果MOBIKE流程成功执行,迁移IAB节点通过目标路径和源宿主-CU执行F1AP gNB-CU配置更新流程。具体例如,迁移IAB节点通过目标路径向源宿主-CU发送配置更新消息,源宿主-CU接收来自迁移IAB节点的该配置更新流程之后,确定IP地址更新后的承载是否可以继续使用,即确定IP地址和承载的可用性。在承载不可用的情况下,源宿主-CU通过目标路径向迁移IAB节点发送用于指示F1AP gNB-CU配置更新流程失败的指示信息。
S510,源宿主-CU推演psk#2。
示例性地,源宿主-CU获取IP地址#3之后,推演psk#2。具体例如,源宿主-CU节点以KgNB#2作为输入密钥,以IP地址#2和IP地址#3作为输入参数推演得到psk#2。该psk#2用于源宿主-CU对迁移IAB节点进行安全认证,以建立迁移IAB节点和源宿主-CU之间的安全传输通道,如IPSec通道。
可以理解的是,IP地址#2可以包括一个或多个IP地址,IP地址#3也可以包括一个或多个IP地址。在IP地址#2或者IP地址#3包括多个IP地址的情况下,psk#2包括多个psk。
S511,迁移IAB节点推演psk#3。
示例性地,迁移IAB节点接收来自目标宿主-CU的RRC消息之后,推演psk#3。具体例如,迁移IAB节点以KgNB#3作为输入密钥,以IP地址#2和IP地址#3作为输入参数推演得到psk#3。该psk#3用于迁移IAB节点对源宿主-CU进行安全认证,以建立迁移IAB节点和源宿主-CU之间的安全传输通道。
S512,迁移IAB节点和源宿主-CU建立F1接口,并协商建立IPSec通道#2。
示例性地,迁移IAB节点(具体可以是迁移IAB节点的DU,即IAB-DU)通过目标路径与源宿主-CU建立F1接口。
通过上述流程,迁移IAB节点完成了迁移过程。下面结合图6的(b)介绍迁移IAB节点进行迁移之后,与源宿主和目标宿主之间一种可能的连接关系。从图6的(b)可以看出,在迁移IAB节点从源宿主-CU迁移到目标宿主-CU之后,对于迁移IAB节点,IAB-MT与目标宿主-CU建立了RRC连接,IAB-DU重新建立了与源宿主-DU之间的F1接口;对于IAB’节点,IAB’-MT与源宿主-CU维持RRC连接,IAB’-DU与源宿主-CU维持F1连接;对于IAB”节点,IAB”-MT与源宿主-CU维持RRC连接,IAB”-DU与源宿主-CU维持F1连接;对于IAB”’节点,IAB”’-MT与目标宿主-CU维持RRC连接,IAB”’-DU与目标宿主-CU维持F1连接。UE以及UE’维持与源宿主之间的RRC连接。
在进行数据传输时,源宿主-CU将下行数据通过目标宿主-DU、(可选的)IAB”’节点、迁移IAB节点发送给UE(具体通信路径如图中点划线所示)。
进一步地,F1接口建立完成之后,迁移IAB节点和源宿主-CU协商建立F1接口的安全传输通道,即IPSec通道#2。在建立IPSec通道#2时,迁移IAB节点和源宿主-CU分别使用psk#2和psk#3作为认证凭证,对对端进行鉴权。
由于迁移IAB节点是使用迁移完成后确定的根密钥KgNB#3计算psk#2的,而源宿主-CU是使用迁移完成前的根密钥KgNB#2计算psk#3的,因此psk#2和psk#3可能不同。如果psk#2和psk#3不同,IPSec通道#2可能会建立失败,导致迁移IAB节点和源宿主-CU后续通信存在安全风险。
结合图5所述的实施例,图7示出了本申请实施例提供的方法700的示例性流程图。下面结合图7中的各个步骤对方法700作示例性说明。
可选地,S701,接入回传一体化节点从源宿主节点的集中式单元迁移至目标宿主节点的集中式单元。
示例性地,在S701之前,接入回传一体化节点通过源路径接入源宿主节点的集中式单元,并在核心网完成注册,该源路径表示接入回传一体化节点和源宿主节点的集中式单元之间的传输路径,该源路径包括源宿主节点的分布式单元。
为了保护该接入回传一体化节点和源宿主节点的集中式单元之间的连接的安全,接入回传一体化节点和源宿主节点的集中式单元协商建立第二安全传输通道。例如,接入回传一体化节点在完成注册流程之后,获取接入回传一体化节点的第三因特网协议地址和源宿主节点的集中式单元的第二因特网协议地址。可以理解的是,本申请实施例中的接入回传一体化节点的因特网协议地址指的是接入回传一体化节点的分布式单元的因特网协议地址,即第三因特网协议地址为接入回传一体化节点的分布式单元的因特网协议地址,后续类似地方不再重复说明。接入回传一体化节点可以从网管系统,或者源宿主节点的集中式单元获取该第三因特网协议地址和该第二因特网协议地址,本申请不作限定。然后接入回传一体化节点以第三根密钥作为输入密钥,以第三因特网协议地址和第二因特网协议地址作为输入参数,推演得到第五预共享密钥,其中该第三根密钥为接入回传一体化节点在注册到网络的过程中获得的密钥,例如,接入回传一体化节点在注册流程根据全球用户身份模块中预置的密钥推演得到第三根密钥。
相应地,源宿主节点的集中式单元以第三根密钥作为输入密钥,以第三因特网协议地址和第二因特网协议地址作为输入参数,推演得到该第五预共享密钥,其中该第三根密钥是源宿主节点的集中式单元在接入回传一体化节点注册到网络的过程中,从网络获取的。例如,在接入回传一体化节点注册到网络的过程中,移动管理网元通过推演得到该第三根密钥,然后将该第三根密钥发送给源宿主节点的集中式单元。
进一步地,接入回传一体化节点和源宿主节点的集中式单元分别使用第五预共享密钥建立接入回传一体化节点和源宿主节点的集中式单元之间的第二安全传输通道。
如果该接入回传一体化节点与源宿主节点之间的信号质量较差,或者信号中断,则该接入回传一体化节点可以从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元。其中,接入回传一体化节点从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元可以指的是:接入回传一体化节点的移动终端部分将无线资源控制连接从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元,而接入回传一体化节点的分布式单元仍维持与源宿主节点的集中式单元的连接(或者说接入回传一体化节点的分布式单元重新建立与源宿主节点的集中式单元的连接)。
接入回传一体化节点可以通过切换流程或重建立流程迁移到目标宿主节点的集中式单元,具体过程可参考方法500中的S504,这里不作详细说明。
可选地,S702,源宿主节点的集中式单元向目标宿主节点的集中式单元发送源宿主节点的集中式单元的第二因特网协议地址。对应地,源宿主节点的集中式单元接收来自源宿主节点的集中式单元的该第二因特网协议地址。
示例性地,源宿主节点的集中式单元可以在满足以下条件中的一项或多项的情况下,向目标宿主节点的集中式单元发送该第二因特网协议地址:
(1)源宿主节点的集中式单元根据本地策略确定在源宿主节点的集中式单元上的接入回传一体化节点向目标宿主节点的集中式单元发生迁移的情况下,该源宿主节点的集中式单元向该目标宿主节点的集中式单元发送该第二因特网协议地址;
(2)源宿主节点的集中式单元确定第二安全传输通道使用的是传输模式;
(3)源宿主节点的集中式单元接收来到自目标宿主节点的集中式单元的,用于请求获取第二因特网协议地址的请求消息。
可以理解的是,源宿主节点的集中式单元可以在接入回传一体化节点的迁移过程中,复用现有的消息向目标宿主节点的集中式单元发送该第二因特网协议地址。例如,在接入回传一体化节点通过切换流程接入目标宿主节点的集中式单元的情况下,源宿主节点的集中式单元向目标宿主节点的集中式单元发送切换请求消息,该切换请求消息用于请求将接入回传一体化节点从源宿主节点的集中式单元迁移至目标宿主节点的集中式单元,并且宿主节点的集中式单元在该切换请求消息中携带第二因特网协议地址。又例如,在接入回传一体化节点通过重建立流程接入目标宿主节点的集中式单元的情况下,目标宿主节点的集中式单元接收来自接入回传一体化节点的重建立请求消息后向源宿主节点的集中式单元发送上下文请求消息,该上下文请求消息用于请求接入回传一体化节点的上下文。源宿主节点的集中式单元接收到该上下文请求消息后,向该目标宿主节点的集中式单元发送上下文响应消息,上下文响应消息包括接入回传一体化节点的上下文,并且源宿主节点的集中式单元在该上下文中携带该第二因特网协议地址。
S703,目标宿主节点的集中式单元根据第一根密钥、接入回传一体化节点的第一因特网协议地址和源宿主节点的集中式单元的第二因特网协议地址,推演得到第一预共享密钥。
示例性地,目标宿主节点的集中式单元接收来自源宿主节点的集中式单元的第二因特网协议地址之后,或者目标宿主节点的集中式单元接收来自源宿主节点的集中式单元的用于请求获取第一预共享密钥的请求消息之后,根据第一根密钥、第一因特网协议地址和第二因特网协议地址,推演得到第一预共享密钥,例如,目标宿主节点的集中式单元以第一根密钥作为输入密钥,以第一因特网协议地址和第二因特网协议地址作为输入参数,推演得到第一预共享密钥。其中,该第一根密钥是在接入回传一体化节点从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元的过程中,目标宿主节点的集中式单元推演得到的,或者目标宿主节点的集中式单元从移动管理网元获取的。例如,目标宿主节点的集中式单元接收到来自接入回传一体化节点的用于指示该接入回传一体化节点从源宿主节点的集中式单元向目标宿主节点的集中式单元迁移完成的消息之后,向接入和移动性管理功能网元发送路径转换请求消息,该路径转换请求消息包括该接入回传一体化节点的标识信息。具体例如,在接入回传一体化节点通过切换流程接入目标宿主节点的集中式单元的情况下,目标宿主节点的集中式单元接收来自接入回传一体化节点的切换完成消息之后,向接入和移动性管理功能网元发送路径转换请求消息;或者,在接入回传一体化节点通过重建立流程接入目标宿主节点的集中式单元的情况下,目标宿主节点的集中式单元在接收到来自接入回传一体化节点的重建立完成消息之后,向回传一体化节点发送路径转换请求消息。对应地,接入和移动性管理功能网元接收到来自目标宿主节点的集中式单元的该路径转换请求消息后,向目标宿主节点的集中式单元发送路径转换响应消息。在一种实现方式中,接入和移动性管理功能网元在该路径转换响应消息中携带下一跳参数,目标宿主节点的集中式单元根据该下一跳参数推演得到该第一根密钥。在另一种实现方式中,接入和移动性管理功能网元根据下一跳参数推演得到第一根密钥之后,在该路径转换响应消息中携带该第一根密钥,目标宿主节点的集中式单元从路径转换响应消息中获取该第一根密钥。
S704,目标宿主节点的集中式单元向源宿主节点的集中式单元发送该第一预共享密钥。对应地,源宿主节点的集中式单元接收来自目标宿主节点的该第一预共享密钥。
示例性地,目标宿主节点的集中式单元推演得到第一预共享密钥之后,向源宿主节点的集中式单元发送该第一预共享密钥,该第一预共享密钥用于源宿主节点的集中式单元建立接入回传一体化节点和源宿主节点的集中式单元之间的第一安全传输通道。
可选地,目标宿主节点的集中式单元还向源宿主节点的集中式单元发送地址信息,该地址信息与该第一预共享密钥存在对应关系,该对应关系用于指示该第一预共享密钥用于为该地址信息对应的连接建立安全传输通道,或者说,该对应关系用于指示该第一预共享密钥用于在该地址信息对应的安全传输通道的建立过程进行安全认证。该地址信息包括接入回传一体化节点的第一因特网协议地址和/或源宿主节点的集中式单元的第二因特网协议地址。
可选地,S705,源宿主节点的集中式单元保存第一预共享密钥。
示例性地,源宿主节点的集中式单元接收来自目标宿主节点的集中式单元的第一预共享密钥之后,保存该第一预共享密钥。
如果源宿主节点的集中式单元还从目标宿主节点的集中式单元接收到了与该第一预共享密钥对应的地址信息,则源宿主节点的集中式单元在S705保存该第一预共享密钥和该地址信息的对应关系。
S706,接入回传一体化节点根据第一根密钥、第一因特网协议地址和第二因特网协议地址,推演得到第二预共享密钥。
示例性地,接入回传一体化节点在从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元之后,在确定新建安全传输通道的情况下,接入回传一体化节点根据第一根密钥、第一因特网协议地址和第二因特网协议地址,推演得到第二预共享密钥,该第二预共享密钥用于接入回传一体化节点建立所述接入回传一体化节点和所述源宿主节点的集中式单元之间的第一安全传输通道。其中,该第一根密钥是在接入回传一体化节点从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元的过程中,接入回传一体化节点推演得到的,或者接入回传一体化节点从源宿主节点的集中式单元获取的。例如,在接入回传一体化节点的迁移过程中,接入和移动性管理功能网元向源宿主节点的集中式单元发送用于推演该第一根密钥的下一跳参数,源宿主节点的集中式单元将该下一跳参数发送给接入回传一体化节点,然后接入回传一体化节点根据该下一跳参数推演得到该第一根密钥。又例如,接入和移动性管理功能网元根据下一跳参数推演得到第一根密钥之后,向源宿主节点的集中式单元发送该第一根密钥,然后源宿主节点的集中式单元将该第一根密钥发送给接入回传一体化节点。
可以理解的是,用于生成第一预共享密钥和第二预共享密钥的参数和算法相同,因此第一预共享密钥和第二预共享密钥相同。
S707,源宿主节点的集中式单元和接入回传一体化节点分别根据第一预共享密钥和第二预共享密钥,建立源宿主节点的集中式单元与接入回传一体化节点之间的第一安全传输通道。
示例性地,在接入回传一体化节点确定使用第一因特网协议地址和第二因特网协议地址建立第一安全传输通道的情况下,接入回传一体化节点触发建立第一安全传输通道。例如,接入回传一体化节点向源宿主节点的集中式单元发送请求消息,该请求消息中包括该第一因特网协议地址和该第二因特网协议地址,该请求消息用于请求建立该第一安全传输通道。然后源宿主节点的集中式单元根据第一预共享密钥对接入回传一体化节点进行安全验证,对应地,接入回传一体化节点根据第二预共享密钥进行安全验证,以建立该第一安全传输通道。具体例如,源宿主节点的集中式单元接收来自该接入回传一体化节点的请求消息之后,向该接入回传一体化节点发送携带了该第一因特网协议地址和第二因特网协议地址的响应消息,并从本地存储中确定第一预共享密钥。例如,源宿主节点的集中式单元在S705保存了第一预共享密钥和地址信息之间的对应关系,该地址信息包括第一因特网协议地址和第二因特网协议地址。源宿主节点的集中式单元接收来自目标宿主节点的集中式单元的请求消息之后,根据该请求消息中携带的地址信息(即第一因特网协议地址和第二因特网协议地址),以及本地存储中的第一预共享密钥与该地址信息之间的对应关系,确定第一预共享密钥。
接入回传一体化节点接收到来自源宿主节点的集中式单元的响应消息之后,基于S706推演得到的第二预共享密钥生成第一认证向量,并将该第一认证向量发送给源宿主节点的集中式单元。源宿主节点的集中式单元接收来自接入回传一体化节点的该第一认证向量之后,基于在本地存储中确定的第一预共享密钥,对该第一认证向量进行校验。如果校验通过,则源宿主节点的集中式单元基于该第一预共享密钥生成第二认证向量,然后将该第二认证向量发送给接入回传一体化节点,接入回传一体化节点根据第二预共享密钥对该第二认证向量进行校验,如果校验通过,则表示接入回传一体化节点和源宿主节点的集中式单元之间的安全认证通过,第一安全传输通道建立完成。
可以理解的是,第一预共享密钥和第二预共享密钥是目标宿主节点的集中式单元和接入回传一体化节点分别根据相同的参数推演得到的预共享密钥,因此第一预共享密钥和第二预共享密钥的值相同。因此在S706中,源宿主节点的集中式单元可以通过第一预共享密钥对接入回传一体化节点成功进行验证,接入回传一体化节点也可以通过第二预共享密钥对源宿主节点成功进行验证,从而可以使得源宿主节点的集中式单元和接入回传一体化节点成功建立第一安全传输通道。
结合图5所述的实施例,图8示出了本申请实施例提供的方法800的示例性流程图。下面结合图8中的各个步骤对方法800作示例性说明。
可选地,S801,接入回传一体化节点从源宿主节点的集中式单元迁移至目标宿主节点的集中式单元。
S801与方法500中的S501类似,为了简洁,这里不再赘述。
可选地,S802a,源宿主节点的集中式单元保存第二根密钥。
示例性地,该第二根密钥为源宿主节点的集中式单元和接入回传一体化节点共享的密钥,即源宿主节点的集中式单元和接入回传一体化节点都有该第二根密钥。
在一种实现方式中(记为方式1),该第二根密钥是该源宿主节点的集中式单元在接入回传一体化节点注册到网络的过程中,从网络中获取的根密钥。例如,在接入回传一体化节点注册到网络的过程中,接入和移动性管理功能网元推演得到该第三根密钥,然后将该第三根密钥发送给源宿主节点的集中式单元。也就是说,该第二根密钥可以是方法700中的S701所涉及的第三根密钥,具体可参考方法700中的S701部分的描述,这里不再赘述。
或者,在另一种实现方式中(记为方式2),该第二根密钥还可以是在接入回传一体化节点从源宿主节点的集中式单元向目标宿主节点的集中式单元迁移的过程中,源宿主节点根据第二根密钥或者下一跳参数推演得到的根密钥。
源宿主节点的集中式单元可以在所有情况下都保存该第二根密钥,也可以在满足第一预设条件的情况下,保存该第二根密钥。该第一预设条件例如可以包括以下一项或多项:
(1)源宿主节点的集中式单元确定所述接入回传一体化节点为具有接入和回传功能的节点。例如,源宿主节点的集中式单元检查接入回传一体化节点的上下文中是否保存有IAB-indication指示,如果有的话,则确定该接入回传一体化节点为具有接入和回传功能的节点。
(2)源宿主节点的集中式单元确定所述接入回传一体化节点发生了迁移,例如源宿主节点的集中式单元确定接入回传一体化节点发生了切换流程或者重建立流程。具体例如,源宿主节点的集中式单元向目标宿主节点的集中式单元发送了切换请求消息,该切换请求消息用于请求将接入回传一体化节点从源宿主节点的集中式单元迁移至目标宿主节点的集中式单元;又例如,源宿主节点的集中式单元接收来自目标宿主节点的集中式单元的上下文请求消息,该上下文请求消息用于请求该接入回传一体化节点的上下文;
(3)源宿主节点的集中式单元确定所述第二安全传输通道使用的是传输模式;
(4)源宿主节点的集中式单元确定所述第二安全传输通道是根据所述第二根密钥推演得到的预共享密钥建立的;
(5)源宿主节点预置的本地策略指示在源宿主节点上的接入回传一体化节点发生了迁移的情况下,建立新的安全传输通道。
可选地,源宿主节点的集中式单元还可以保存与该第二根密钥对应的第一指示信息,该第一指示信息用于指示所述第二根密钥用于在所述接入回传一体化节点从源宿主节点的集中式单元迁移到所述目标宿主节点的集中式单元之后,推演新的预共享密钥。
可选地,S802b,接入回传一体化节点保存第二根密钥。
示例性地,对应于上述方式1,该第二根密钥是接入回传一体化节点在注册到网络的过程中,根据全球用户身份模块中预置的密钥推演得到的。在这种情况下,该第二根密钥是用于推演第二预共享密钥的根密钥,该第二预共享密钥用于在接入回传一体化节点从源宿主节点的集中式单元向目标宿主节点的集中式单元迁移之前,建立第二安全传输通道,具体过程可参考方法700中的S701部分的描述。
对应于上述方式2,该第二根密钥也可以是接入回传一体化节点从源宿主节点的集中式单元向目标宿主节点的集中式单元迁移的过程中,根据第三根密钥或下一跳参数推演得到的根密钥。例如,在迁移过程中,源宿主节点的集中式单元向接入回传一体化节点发送重配置消息,该重配置消息中携带有下一跳参数,接入回传一体化节点根据该下一跳参数推演得到该第二预共享密钥。
接入回传一体化节点可以在所有情况下都保存该第二根密钥,也可以在满足第二预设条件的情况下,保存该第二根密钥。该第二预设条件例如可以包括以下一项或多项:
(1)所述接入回传一体化节点确定从所述源宿主节点的集中式单元迁移到了目标宿主节点的集中式单元。例如,接入回传一体化节点向目标宿主节点的集中式单元发送切换完成消息;又例如,接入回传一体化节点向目标宿主节点的集中式单元发送重配置完成消息;
(2)确定所述第二安全传输通道是根据第二根密钥推演得到的预共享密钥建立的;
(3)确定所述第二安全传输通道使用的是传输模式;
(4)接入回传一体化节点根据本地策略确定在发生了迁移的情况下,与源宿主节点的集中式单元建立安全传输通道。
可选地,接入回传一体化节点还可以保存与该第二根密钥对应的第二指示信息,该第二指示信息用于指示所述第二根密钥用于在所述接入回传一体化节点从源宿主节点的集中式单元迁移到所述目标宿主节点的集中式单元之后,推演新的预共享密钥。
S803a,目标宿主节点的集中式单元向源宿主节点的集中式单元发送第一因特网协议地址。对应地,源宿主节点的集中式单元接收来自目标宿主节点的集中式单元的该第一因特网协议地址。
该第一因特网协议地址为目标宿主节点的集中式单元或者网络管理设备在接入回传一体化节点在迁移过程中,为该接入回传一体化节点生成的地址,具体可参考方法700中的S701部分的描述,这里不再赘述。
S803b,目标宿主节点的集中式单元向接入回传一体化节点发送该第一因特网协议地址。对应地,接入回传一体化节点接收来自目标宿主节点的集中式单元的该第一因特网协议地址。
S804a,接入回传一体化节点根据第二根密钥、第一因特网协议地址和第二因特网协议地址,推演得到第三预共享密钥。
可选地,在接入回传一体化节点在S802b保存了与第二根密钥对应的第二指示信息的情况下,接入回传一体化节点可以根据该第二指示信息,确定使用第二根密钥推演新的预共享密钥。
接入回传一体化节点根据第二根密钥、第一因特网协议地址和第二因特网协议地址,推演得到第三预共享密钥,例如,源宿主节点的集中式单元将第二根密钥作为输入密钥,将第一因特网协议地址和第二因特网协议地址作为输入参数,推演得到该第五预共享密钥。
S804b,源宿主节点的集中式单元根据第二根密钥、第一因特网协议地址和第二因特网协议地址,推演得到第三预共享密钥。
可选地,在源宿主节点的集中式单元在S802a还保存了与第二根密钥对应的第一指示信息的情况下,源宿主节点的集中式单元可以根据该第一指示信息,确定使用第二根密钥推演新的预共享密钥。
源宿主节点的集中式单元推演第三预共享密钥的具体方式与S804a中接入回传一体化节点推演第三预共享密钥的方式类似,这里不再赘述。
S805,接入回传一体化节点和源宿主节点的集中式单元根据第三预共享密钥,建立源宿主节点的集中式单元与接入回传一体化节点之间的第一安全传输通道。
可以理解的是,S805与方法700中的S706类似,区别在于S706中接入回传一体化节点和源宿主节点的集中式单元根据第一预共享密钥建立了第一安全传输通道,S805中接入回传一体化节点和源宿主节点的集中式单元根据第三预共享密钥建立了第一安全传输通道。为了简洁,这里不再赘述。
可以理解的是,第三预共享密钥和第四预共享密钥是目标宿主节点的集中式单元和接入回传一体化节点分别根据相同的根密钥(即第二根密钥)推演得到的预共享密钥,因此第三预共享密钥和第四预共享密钥的值相同。因此在S805中,源宿主节点的集中式单元可以通过第三预共享密钥对接入回传一体化节点成功进行验证,接入回传一体化节点也可以通过第四预共享密钥对源宿主节点成功进行验证,从而可以使得源宿主节点的集中式单元和接入回传一体化节点成功建立第一安全传输通道。
结合图5所述的实施例,图9示出了本申请实施例提供的方法900的示例性流程图。下面结合图9中的各个步骤对方法900作示例性说明。
可选地,S901,接入回传一体化节点从源宿主节点的集中式单元迁移至目标宿主节点的集中式单元。
S901与方法700中的S701类似,为了简洁,这里不再赘述。
可选地,S902,源宿主节点的集中式单元向目标宿主节点的集中式单元发送接入回传一体化节点的第三因特网协议地址。对应地,目标宿主节点接收来自源宿主节点的集中式单元的第三因特网协议地址。
示例性地,该第三因特网协议地址是接入回传一体化节点在从源宿主节点的集中式单元向目标宿主节点的集中式单元迁移之前,源宿主节点的集中式单元为接入回传一体化节点的分布式单元生成的地址,或者是源宿主节点从网管系统获取的该接入回传一体化节点的分布式单元的地址。该第三因特网协议地址用于在接入回传一体化节点进行迁移之前,推演第五预共享密钥,该第五预共享密钥用于在接入回传一体化节点从源宿主节点的集中式单元向目标宿主的集中式单元迁移之前,建立接入回传一体化节点和源宿主节点的集中式单元之间的第一安全传输通道,具体可参考方法700中的S701部分的描述,这里不再赘述。
源宿主节点的集中式单元可以主动向目标宿主节点的集中式单元发送该第三因特网协议地址,例如,在接入回传一体化节点通过切换流程接入目标宿主节点的集中式单元的场景下,源宿主节点的集中式单元可以在向目标宿主节点的集中式单元发送切换请求消息时,在该切换请求消息中携带该第三因特网协议地址,又例如,在接入回传一体化节点通过重建立流程接入目标宿主点的集中式单元的场景下,源宿主节点的集中式单元可以在向目标宿主节点的集中式单元发送接入回传一体化节点的上下文时,在该上下文中携带该第三因特网协议地址;或者,源宿主节点的集中式单元也可以根据目标宿主节点的集中式单元的请求,向该目标宿主节点的集中式单元发送该第三因特网协议地址,例如,在接入回传一体化节点迁移到了目标宿主节点的集中式单元之后,目标宿主节点的集中式单元向源宿主节点的集中式单元发送请求消息,该请求消息用于请求该接入回传一体化节点发生迁移之前所使用的因特网协议地址。源宿主节点的集中式单元接收到该请求消息之后,将该第三因特网协议地址发送给目标宿主节点的集中式单元。
可选地,源宿主节点的集中式单元还可以向目标宿主节点的集中式单元发送源宿主节点的集中式单元的第二因特网协议地址,具体方式与发送第三因特网协议地址的方式类似,这里不再赘述。
可选地,S903a,目标宿主节点的集中式单元向源宿主节点的集中式单元发送地址信息。
示例性地,在接入回传一体化节点迁移到目标宿主节点的集中式单元之后,目标宿主节点的集中式单元可以向源宿主节点的集中式单元发送地址信息,该地址信息包括接入回传一体化节点的第一因特网协议地址和/或源宿主节点的集中式单元的第二因特网协议地址。目标宿主节点的集中式单元通过向源宿主节点的集中式单元发送该地址信息,来表示使用接入回传一体化节点迁移之前所使用的预共享密钥,建立该地址信息对应的安全传输通道。可选地,目标宿主节点的集中式单元可以向源宿主节点的集中式单元发送地址信息和第三因特网协议地址的对应关系,该对应关系用于指示使用第三因特网协议地址对应的预共享密钥,建立该地址信息对应的安全传输通道。
可选地,S903b,目标宿主节点的集中式单元向接入回传一体化节点发送地址信息。
可以理解的是,S903b与S903a类似,区别在于在S903a中,目标宿主节点的集中式单元将地址信息发送给源宿主节点的集中式单元,而在S903b中,目标宿主节点的集中式单元将地址信息发送给目标宿主节点的集中式单元。为了简洁,这里不再赘述。还可以理解的是,S903a可以在S903b之前执行,也可以在S903b之后执行,本申请不作限定。
可选地,S904a,源宿主节点的集中式单元保存地址信息和第五预共享密钥之间的对应关系。
示例性地,源宿主节点的集中式单元接收来自目标宿主节点的集中式单元的地址信息和第三因特网协议地址的对应关系之后,根据第三因特网协议地址确定对应的第五预共享密钥。然后,源宿主节点的集中式单元保存地址信息和第五预共享密钥的对应关系,该对应关系用于指示使用第五预共享密钥建立该地址信息对应的安全传输通道。
可选地,S904b,接入回传一体化节点保存地址信息和第五预共享密钥之间的对应关系。
示例性地,接入回传一体化节点接收来自目标宿主节点的集中式单元的地址信息和第三因特网协议地址的对应关系之后,根据第三因特网协议地址确定对应的第五预共享密钥。然后,接入回传一体化节点保存地址信息和第五预共享密钥的对应关系,该对应关系用于指示使用第五预共享密钥建立该地址信息对应的安全传输通道。
S905a,接入回传一体化节点在本地存储中确定第五预共享密钥。
示例性地,在接入回传一体化节点确定使用上述地址信息建立安全传输通道的情况下,或者说,在接入回传一体化节点确定建立上述地址信息对应的安全传输通道的情况下,该接入回传一体化节点根据该地址信息,以及本地存储中的该地址信息和第五预共享密钥的对应关系,确定第五预共享密钥。
S905b,源宿主节点的集中式单元在本地存储中确定第五预共享密钥。
示例性地,在源宿主节点的集中式单元确定使用上述地址信息建立安全传输通道的情况下,或者说,在源宿主节点的集中式单元确定建立上述地址信息对应的安全传输通道的情况下,源宿主节点的集中式单元在本地存储中确定第五预共享密钥。
例如,源宿主节点的集中式单元接收到来自接入回传一体化节点的请求消息,该请求消息中携带有该地址信息,该请求消息用于请求建立第一安全传输通道。源宿主节点的集中式单元根据该地址信息,以及本地存储中的该地址信息和第五预共享密钥的对应关系,确定第五预共享密钥。
S906,接入回传一体化节点和源宿主节点的集中式单元根据第一预共享密钥,建立源宿主节点的集中式单元与接入回传一体化节点之间的第一安全传输通道。
可以理解的是,S906与方法700中的S706类似,区别在于在S706中接入回传一体化节点和源宿主节点的集中式单元根据第一预共享密钥,建立第一安全传输通道,而在S906中,接入回传一体化节点和源宿主节点的集中式单元根据第五预共享密钥,建立第一安全传输通道。为了简洁,这里不再赘述。
通过上述方法700-方法900,源宿主节点的集中式单元和接入回传一体化节点使用相同的预共享密钥建立安全传输通道,从而可以避免由于源宿主节点和接入回传一体化节点在建立安全传输通道时,使用的预共享密钥不同,导致安全通道建立失败的情况。
下面结合图5中的场景,介绍本申请实施例提供的方法1000-方法1400。
结合图5所述的实施例,图10示出了本申请实施例提供的方法1000的示例性流程图。方法1000可以是方法700的一种可能的实现方式,示例性地,在方法1000中,以接入回传一体化节点为迁移IAB节点、以源宿主节点的集中式单元为源宿主-CU、以目标宿主节点的集中式单元为目标宿主-CU为例进行说明。另外,以第一预共享密钥为psk#2,第二预共享密钥为psk#3、第二因特网协议地址为IP地址#2、第一因特网协议地址为IP地址#3为例进行说明。
在方法1000中,迁移IAB节点从源宿主-CU向目标宿主-CU迁移之后,目标宿主-CU使用与迁移IAB节点协商确定的新的根密钥推演psk,并将推演得到的该psk发送给源宿主-CU,源宿主-CU使用从目标宿主-CU获取的该psk与迁移IAB节点协商建立新的IPSec通道。
下面结合图10中的各个步骤对方法1000作示例性说明。
S1001-S1004与方法500中的S501-S504类似,这里不再赘述。
S1005,源宿主-CU向目标宿主-CU发送IP地址#2。对应地,目标宿主-CU接收来自源宿主-CU的该IP地址#2。
示例性地,该IP地址#2代表源宿主-CU的IP地址。源宿主-CU可以在迁移IAB节点迁移到目标宿主-CU过程中,向目标宿主-CU发送该IP地址#2,也就是说,S1005可以在S1004过程中执行,或者,S1005也可以在S1004之后执行,本申请不作限定。源宿主-CU可以复用现有的消息向目标宿主-CU发送该IP地址#2。例如,在切换场景下,源宿主-CU向目标宿主-CU发送切换请求消息时,在该切换请求消息中携带该IP地址#2。又例如,在重建立场景下,源宿主-CU接收来自目标宿主-CU的UE上下文获取请求消息后,向目标宿主-CU发送迁移IAB节点的上下文,并在该迁移IAB节点的上下文中携带该IP地址#2。
可选地,源宿主-CU可以在满足以下条件中的一项或多项时,向目标宿主-CU发送该IP地址#2:
(1)源宿主-CU的本地策略指示源宿主-CU向目标宿主-CU发送IP地址#2。例如,源宿主-CU预置本地策略指示源宿主-CU上的迁移IAB节点发生迁移的情况下,源宿主-CU向迁移IAB节点的目标宿主-CU发送IP地址#2;
(2)IPSec通道#1使用传输模式。例如,S1002建立的IPSec通道#1使用的是传输模式。
(3)接收到来自目标宿主-CU的请求消息。例如,迁移IAB节点从源宿主-CU迁移到目标宿主-CU之后,目标宿主-CU向源宿主-CU发送请求消息以请求获取该IP地址#2。源宿主-CU根据目标宿主-CU的请求向目标宿主-CU发送该IP地址#2。
可选地,源宿主-CU还可以向目标宿主-CU发送指示信息#1,该指示信息#1用于指示目标宿主-CU为源宿主-CU计算psk#3,或者该指示信息#1用于请求获取psk#3。该指示信息#1可以是IP地址#2本身,也可以是独立于IP地址#2的其他信元。或者,源宿主-CU也可以通过其他信元隐式地指示目标宿主-CU为源宿主-CU计算psk#3,本申请不作限定。
S1006,目标宿主-CU生成IP地址#3。
S1007,目标宿主-CU向迁移IAB节点发送RRC消息,该消息中携带IP地址#3。
S1006-S1007与方法500中的S505-S506类似,这里不再赘述。
S1008,目标宿主-CU根据KgNB#3、IP地址#2和IP地址#3推演psk#2。
示例性地,目标宿主-CU以KgNB#3作为输入密钥,以IP地址#2和IP地址#3作为输入参数推演得到psk#2。该KgNB#3为目标宿主-CU和迁移IAB节点协商确定的根密钥,该IP地址#3是在迁移IAB节点从源宿主-CU迁移到目标宿主-CU之后,由目标宿主-CU或OAM为迁移IAB节点生成的新的IP地址,具体可参考方法500中的S504-S505部分的描述,这里不再赘述。
可以理解的是,IP地址#2可以包括一个或多个IP地址,IP地址#3也可以包括一个或多个IP地址。在IP地址#2包括多个IP地址,或者IP地址#3包括多个IP地址的情况下,psk#2包括多个psk,且psk#2中包括的psk的数量与IP地址#2及IP地址#3中包括的IP地址的数量有关。
下面结合表1介绍一种可能的示例。
表1
在表1给出的示例中,IP地址#2包括1个IP地址:IP_1,IP地址#3包括2个IP地址:IP_2、IP_3,则psk#2包括2个psk:psk_1、psk_2,并且,psk_1是由IP_1和IP_2推演得到的,即psk_1与IP_1和IP_2对应;psk_2是由IP_1和IP_3推演得到的,即psk_2与IP_1和IP_3对应。
下面结合表2介绍另一种可能的示例。
表2
在表2给出的示例中,IP地址#2包括3个IP地址:IP_4、IP_5、IP_6,IP地址#3包括2个IP地址:IP_7、IP_8,则psk#2包括6个psk:psk_3、psk_4、psk_5、psk_6、psk_7、psk_8,并且,psk_3是由IP_4和IP_7推演得到的,即psk_3与IP_4和IP_7对应;psk_4是由IP_4和IP_8推演得到的,即psk_4与IP_4和IP_8对应;psk_5是由IP_5和IP_7推演得到的,即psk_5与IP_5和IP_7对应;psk_6是由IP_5和IP_6推演得到的,即psk_6与IP_5和IP_6对应;psk_7是由IP_6和IP_7推演得到的,即psk_7与IP_6和IP_7对应;psk_8是由IP_6和IP_8推演得到的,即psk_8与IP_6和IP_8对应。
S1009,目标宿主-CU向源宿主-CU发送消息,该消息包括IP地址#3和psk#2。
示例性地,目标宿主-CU生成IP地址#3之后,向源宿主-CU发送消息,该消息包括IP地址#3和psk#2,该消息例如可以是IAB传输迁移消息(IAB transport migrationmessage)。
可选地,该IP地址#3和该psk#2存在对应关系,IP地址#3和psk#2之间的对应关系可以用{IP地址#3,psk#2}表示。为了方便,在后续实施例采用类似的方式来表示不同参数之间的对应关系。
可选地,该消息中还可以包括IP地址#2,在这种情况下,该IP地址#2、IP地址#3和psk#2可以存在对应关系,该对应关系可以用{IP地址#2,IP地址#3,psk#2}表示,该对应关系的具体格式可以如表3所示。
表3
表3包括3个IAB宿主-CU psk信息元素(IAB-donor-CU PSK Info Item IEs):psk、IAB-DU IP Address和source IAB-Donor-CU IP Address,其中psk表示在迁移IAB节点进行迁移之后,目标宿主-CU推演得到的psk(即本申请实施例中的psk#2),IAB-DU IPAddress表示迁移IAB节点在进行迁移之后,目标宿主-CU或OAM为该迁移IAB节点生成的新的IP地址(即本申请实施例中的IP地址#3),source IAB-Donor-CU IP Address表示源宿主-CU的IP地址(即本申请实施例中的IP地址#2)。表3中的“Present”一列表示各个元素对应的状态,其中“M”表示必选,“O”表示可选,“O/M”表示可选或者必选,因此从表3中可以看出,psk和IAB-DU IP Address为必选的元素,source IAB-Donor-CU IP Address可以是可选的元素,也可以是必选的元素。
可以理解的是,在IP地址#3仅包括一个IP地址且psk#2仅包括一个psk的情况下,该消息中可以不包括上述对应关系,即该消息中的IP地址#3和psk#2可以是两个独立的信元。在IP地址#3包括多个IP地址,或者psk#2包括多个psk的情况下,该消息中包括上述对应关系,且该对应关系包括不同IP地址#3和不同psk#2之间的对应关系。下面结合示例进行说明。结合上述表1中的示例,IP地址#2包括IP_1,IP地址#3包括IP_2、IP_3,psk#2包括psk_1、psk_2,IP地址#2、IP地址#3和psk#2之间的的对应关系包括:{IP_1,IP_2,psk_1},以及{IP_1,IP_3,psk_2},具体如表4所示。
表4
IE/Group Name | Presence | Range |
IAB-donor-CU PSK Info Item IEs | 1..<maxnoofPSKs> | |
IP_1 | O/M | |
IP_2 | M | |
psk_1 | M | |
IAB-donor-CU PSK Info Item IEs | 1..<maxnoofPSKs> | |
IP_1 | O/M | |
IP_3 | M | |
psk_2 | M |
结合表2中的示例,IP地址#2包括IP_4、IP_5、IP_6,IP地址#3包括IP_7、IP_8,psk#2包括psk_3、psk_4、psk_5、psk_6、psk_7、psk_8,IP地址#2、IP地址#3、psk#2之间的对应关系包括:{IP_4,IP_7,psk_3},{IP_4,IP_8,psk_4}、{IP_5,IP_7,psk_5}、{IP_5,IP_8,psk_6}、{IP_6,IP_7,psk_7}、{IP_6,IP_8,psk_8},具体如表5所示。
表5
IE/Group Name | Presence | Range |
IAB-donor-CU PSK Info Item IEs | 1..<maxnoofPSKs> | |
IP_7 | O/M | |
IP_7 | M | |
psk_3 | M | |
IAB-donor-CU PSK Info Item IEs | 1..<maxnoofPSKs> | |
IP_4 | O/M | |
IP_8 | M | |
psk_4 | M | |
IAB-donor-CU PSK Info Item IEs | 1..<maxnoofPSKs> | |
IP_5 | O/M | |
IP_7 | M | |
psk_5 | M | |
IAB-donor-CU PSK Info Item IEs | 1..<maxnoofPSKs> | |
IP_5 | O/M | |
IP_8 | M | |
psk_6 | M | |
IAB-donor-CU PSK Info Item IEs | 1..<maxnoofPSKs> | |
IP_6 | O/M | |
IP_7 | M | |
psk_7 | M | |
IAB-donor-CU PSK Info Item IEs | 1..<maxnoofPSKs> | |
IP_6 | O/M | |
IP_8 | M | |
psk_8 | M |
上述示例是以目标宿主-CU通过IAB传输迁移消息向源宿主-CU发送psk#2和IP地址#3为例进行说明,可以理解的是,目标宿主-CU还可以通过其他消息向源宿主-CU发送psk#2和IP地址#3,本申请不作限定。
S1010,源宿主-CU保存IP地址#3和psk#2的对应关系。
示例性地,源宿主-CU从目标宿主-CU接收到IP地址#3和psk#3之后,保存IP地址#3和psk#3之间的对应关系(即保存{IP地址#3,psk#3}),该对应关系保存在源宿主-CU的上下文中。该对应关系用于指示源宿主-CU使用psk#3与IP地址#3对应的节点(即本申请实施例中的迁移IAB节点)协商建立安全传输通道,或者说,该对应关系用于指示在某个节点使用IP地址#3向源宿主-CU请求建立安全传输通道的情况下,源宿主-CU使用psk#3对该节点进行认证。
可选地,如果源宿主-CU还从目标宿主-CU接收到IP地址#2,则源宿主-CU可以保存IP地址#2、IP地址#3和psk#3之间的对应关系(即保存{IP地址#2,IP地址#3,psk#3}),该对应关系保存在源宿主-CU的上下文中。该对应关系用于指示源宿主-CU使用psk#3协商建立IP地址#3和IP地址#2对应的安全传输通道,或者说,该对应关系用于指示在某个节点使用IP地址#3作为源IP地址,使用IP地址#2作为目标IP地址向源宿主-CU请求建立安全传输通道的情况下,源宿主-CU使用psk#3对该节点进行认证。
S1011,MOBIKE流程。
可选地,迁移IAB节点可以通过源宿主-CU执行MOBIKE流程。
在IPSec通道#1使用传输模式(transport mode)的情况下,迁移IAB节点和源宿主-CU,需要重新建立IPsec通道,即需要执行S1013-S1018,在这种情况下不需要执行S1011。
在IPSec通道#1使用隧道模式(tunnel mode)的情况下,迁移IAB节点可以选择重新建立IPSec通道,即执行S1013-S1018,在这种情况下不需要执行S1011;或者,迁移IAB节点也可以选择在原有IPSec通道#1上进行IP地址迁移(即执行S1011)。
可选地,S1013,迁移IAB节点确定是否新建IPSec通道。
或者,S1013还可以描述为,迁移IAB节点确定是否推演psk#3。
示例性地,在满足以下条件中的一项或多项时,迁移IAB节点触发建立新的IPSec通道,或者说,迁移IAB节点确定推演psk#3:
(1)迁移IAB节点从目标宿主-CU接收到IP地址#3(即S1007携带IP地址#3);
(2)迁移IAB节点的本地策略指示迁移IAB节点新建IPSec通道,例如,迁移IAB节点预置本地策略指示迁移IAB节点在发生迁移的情况下,释放原有IPSec通道(即IPSec通道#1),并新建IPSec通道(即IPSec通道#2)。
(3)IPSec通道#1使用传输模式。例如,S1002建立的IPSec通道#1使用的是传输模式。
(4)确定MOBIKE流程失败。例如,在S1011中,迁移IAB节点接收到指示MOBIKE流程失败的响应消息;
(5)确定F1AP gNB-DU配置更新流程失败。例如,在S1012,迁移IAB节点接收到指示F1AP gNB-DU配置更新流程失败的响应消息。
S1014,迁移IAB节点根据KgNB#3、IP地址#2和IP地址#3推演psk#3。
示例性地,在迁移IAB节点确定需要新建IPSec通道的情况下,迁移IAB节点以KgNB#3作为输入密钥,以IP地址#2和IP地址#3作为输入参数推演得到psk#3。也就是说,psk#3是与IP地址#2和IP地址#3对应的psk。在迁移IAB节点使用IP地址#2和IP地址#3向源宿主-CU发起IPSec通道建立流程的情况下,迁移IAB节点可以通过psk#3执行IPSec认证流程。
可以理解的是,IP地址#2可以包括一个或多个IP地址,IP地址#3也可以包括一个或多个IP地址。在IP地址#2包括多个IP地址,或者IP地址#3包括多个IP地址#3的情况下,psk#3包括多个psk。具体示例可参考S1008部分的示例,区别在于,S1008由目标宿主-CU执行,且目标宿主-CU推演得到的psk记为psk#2,而S1014由迁移IAB节点执行,且迁移IAB节点推演得到的psk记为psk#3。
还可以理解的是,S1013-S1014可以在S1015之前执行,也可以在S1015之后执行,本申请不作限定。
S1015,迁移IAB节点和源宿主-CU建立F1接口。
示例性地,迁移IAB节点通过目标路径和源宿主-CU建立F1接口。具体过程本申请不作限定。
进一步地,迁移IAB节点和源宿主-CU协商建立安全传输通道。例如,迁移IAB节点与源宿主-CU使用IKEv2 PSK协议建立IPSec安全传输通道。为了方便,将这里的IPSec安全传输通道记为IPSec通道#2。下面结合S1016-S1018对该过程作示例性说明。
S1016,迁移IAB节点向源宿主-CU发送请求消息。对应地,源宿主-CU接收来自该迁移IAB节点的该请求消息。
示例性地,迁移IAB节点通过目标路径向源宿主-CU发送请求消息,该请求消息中包括IP地址#2和IP地址#3,该请求消息同于请求建立IPSec通道#2。
在该请求消息例如可以是IKE_SA_INIT请求消息,该IKE_SA_INIT请求消息携带的IP地址#3作为源IP地址,携带的IP地址#2作为目标IP地址。
可以理解的是,在IP地址#2或者IP地址#3包括多个IP地址的情况下,迁移IAB节点可以多次重复S1016的流程,以触发建立不同IP地址对应的IPSec通道。例如,在上述表1所示的示例中,IP地址#2包括1个IP地址:IP_1,IP地址#3包括2个IP地址:IP_2,IP_3。在这种情况下,迁移IAB节点可以向源宿主-CU发送2次请求消息,在第1次请求消息中携带IP_1、IP_2,在第2次请求消息中携带IP_1、IP_3。又例如,在表2所示的示例中,IP地址#2包括3个IP地址:IP_4,IP_5,IP_6,IP地址#3包括2个IP地址:IP_7,IP_8。在这种情况下,迁移IAB节点可以向源宿主-CU发送6次请求消息,在第1次请求消息中携带IP_4、IP_7,在第2次请求消息中携带IP_4,IP_8,在第3次请求消息中携带IP_5,IP_7,在第4次请求消息中携带IP_5,IP_8,在第5次请求消息中携带IP_6,IP_7,在第6次请求消息中携带IP_6,IP_8。可以理解的是,本申请实施例对发送上述请求消息的先后顺序不作限定。
S1017,源宿主-CU根据IP地址#3,以及IP地址#3和psk#2的对应关系确定psk#2。
示例性地,源宿主-CU接收到来自迁移IAB节点的请求消息之后,根据该请求消息中携带的IP地址#3,以及在S1010保存的IP地址#3和psk#2的对应关系,确定psk#2。
例如,在上述表1所示的示例中,IP地址#3包括2个IP地址:IP_2,IP_3,psk#2包括2个psk:psk_1,psk_2,且IP地址#3和psk#2的对应关系包括:{IP_2,psk_1},{IP_3,psk_2}。因此,如果源宿主-CU在S1016接收到的请求消息中携带的是IP_1和IP_2(即IP地址#3为IP_2),则源宿主-CU根据IP_2,以及IP地址#3和psk#2的对应关系确定对应的psk_1;如果源宿主-CU在S1016接收到的请求消息中携带的是IP_1和IP_3(即IP地址#3为IP_3),则源宿主-CU根据IP_3,以及IP地址#3和psk#2的对应关系确定对应的psk_2。
或者,在另一种实现方式中,在源宿主-CU在S1010保存了IP地址#2、IP地址#3和psk#2的对应关系的情况下,源宿主-CU接收到来自迁移IAB节点的请求消息之后,根据该请求消息中携带的IP地址#2和IP地址#3,以及在S1010保存的IP地址#2、IP地址#3和psk#2的对应关系,确定psk#2。
例如,在上述表2所示的示例中,IP地址#2包括3个IP地址:IP_4、IP_5、IP_6,IP地址#3包括2个IP地址:IP_7、IP_8,psk#2包括6个psk:psk_3、psk_4、psk_5、psk_6、psk_7、psk_8,IP地址#2、IP地址#3和psk#2的对应关系包括:{psk_3,IP_4,IP_7},{psk_4,IP_4,IP_8},{psk_5,IP_5,IP_7},{psk_5,IP_5,IP_6},{psk_7,IP_6,IP_7},{psk_8,IP_6,IP_8}。因此,如果源宿主-CU在S1016接收到的请求消息中携带的是IP_4和IP_7(即IP地址#2为IP_4,IP地址#3为IP_7),则源宿主-CU根据IP_4和IP_7,以及IP地址#2、IP地址#3和psk#2的对应关系确定对应的psk_3;如果源宿主-CU在S1016接收到的请求消息中携带的是IP_4和IP_8(即IP地址#2为IP_4,IP地址#3为IP_8),则源宿主-CU根据根据IP_4和IP-8,以及IP地址#2、IP地址#3和psk#2的对应关系确定对应的psk_4;如果源宿主-CU在S1016接收到的请求消息中携带的是IP_5和IP_7(即IP地址#2为IP_5,IP地址#3为IP_7),则源宿主-CU根据IP_5和IP_7,以及IP地址#2、IP地址#3和psk#2的对应关系确定对应的psk_5;如果源宿主-CU在S1016接收到的请求消息中携带的是IP_5和IP_8(即IP地址#2为IP_5,IP地址#3为IP_8),则源宿主-CU根据IP_5和IP_8,以及IP地址#2、IP地址#3和psk#2的对应关系确定对应的psk_6;如果源宿主-CU在S1016接收到的请求消息中携带的是IP_6和IP_7(即IP地址#2为IP_6,IP地址#3为IP_7),则源宿主-CU根据IP_6和IP_7,以及IP地址#2、IP地址#3和psk#2的对应关系确定对应的psk_7;如果源宿主-CU在S1016接收到的请求消息中携带的是IP_6和IP_8(即IP地址#2为IP_6,IP地址#3为IP_8),则源宿主-CU根据IP_6和IP_8,以及IP地址#2、IP地址#3和psk#2的对应关系确定对应的psk_8。
可以理解的是,S1017可以是在S1016之后执行,也可以在S1018之后执行,还可以在S1019过程中(例如源宿主-CU接收到来自迁移IAB节点的认证向量后)执行,此处不做限制。
S1018,源宿主-CU向迁移IAB节点发送响应消息。对应地,迁移IAB节点接收来自源宿主-CU的该响应消息。
示例性地,源宿主-CU通过目标路径向迁移IAB节点发送响应消息,该响应消息中携带IP地址#2和IP地址#3。该响应消息例如可以是IKE_SA_INIT响应消息。
S1019,迁移IAB节点和源宿主-CU分别使用psk#3和psk#2执行IPSec认证流程。可以理解的是,这里的psk#3指的是迁移IAB节点在S1016中携带的IP地址#2和IP地址#3对应的psk,这里的psk#2指的是源宿主-CU在S1017确定的psk。
示例性地,迁移IAB节点基于psk#3生成认证向量#1,并将该认证向量#1发送给源宿主-CU,源宿主-CU接收到该认证向量#1之后,基于psk#2对认证向量#1进行校验,如果校验成功,源宿主-CU向迁移IAB节点发送认证向量#2,其中认证向量#2为源宿主-CU基于psk#2生成的认证向量。迁移IAB节点接收认证向量#2之后,基于psk#3对认证向量#2进行校验,如果校验成功则表示IPSec认证成功。
作为一种示例,迁移IAB节点可以通过IKE_AUTH Exchange请求消息向源宿主-CU发送认证向量#1,即迁移IAB节点可以向源宿主-CU发送IKE_AUTH Exchange请求消息,在该IKE_AUTH Exchange请求消息中携带认证向量#1。源宿主-CU可以通过IKE_AUTH Exchange响应消息向迁移IAB节点发送认证向量#2,即源宿主-CU可以向迁移IAB节点发送IKE_AUTHExchange响应消息,在该IKE_AUTH Exchange响应消息中携带认证向量#2。
可选地,S1020,UE和CN之间通过迁移IAB节点、目标路径和源宿主-CU进行数据传输。
示例性地,迁移IAB节点和源宿主-CU通过目标路径建立了新的F1接口和IPSec通道#2之后,UE可以和CN之间通过迁移IAB节点、目标路径和源宿主-CU进行数据传输,并且数据在源宿主-CU和迁移IAB节点之间进行传输时,通过IPSec通道#2进行安全保护。
结合图5所述的实施例,图11示出了本申请实施例提供的方法1100的示例性流程图。方法1100可以是方法700的另一种可能的实现方式。
在方法1100中,迁移IAB节点从源宿主-CU向目标宿主-CU迁移之后,源宿主-CU向目标宿主-CU请求获取psk,目标宿主-CU根据源宿主-CU的请求,使用与迁移IAB节点协商确定的新的根密钥推演psk,并将推演得到的该psk发送给源宿主-CU。源宿主-CU使用从目标宿主-CU获取的该psk与迁移IAB节点协商新的IPSec通道。
下面结合图11中的各个步骤对方法1100做示例性说明。
S1101-S1109与方法500中的S501-S509类似,为了简洁,这里不再赘述。
可选地,S1110,源宿主-CU确定是否新建IPSec通道。
或者,S1110还可以描述为,源宿主-CU确定是否向目标宿主请求psk#2。
示例性地,在满足以下条件中的一项或多项时,源宿主-CU确定新建IPSec通道,或者说确定向目标宿主-CU请求psk#2:
(1)源宿主-CU接收到IP地址#3,例如,源宿主-CU在S1107接收到来自目标宿主-CU的IP地址#3,或者源宿主-CU接收到来自迁移IAB节点的IP地址#3;
(2)源宿主-CU的本地策略指示源宿主-CU新建IPSec通道,例如,源宿主-CU预置本地策略指示源宿主-CU上的IAB节点发生迁移的情况下,源宿主-CU需要释放原有IPSec通道(即IPSec通道#1),并新建IPSec通道(即IPSec通道#2);
(3)IPSec通道#1使用传输模式。例如,S1102建立的IPSec通道#1使用的是传输模式。
(4)确定MOBIKE流程失败。例如,在S1108中,迁移IAB节点接收到指示MOBIKE流程失败的响应消息;
(5)确定F1AP gNB-DU配置更新流程失败。例如,在S1109,迁移IAB节点接收到指示F1AP gNB-DU配置更新流程失败的响应消息。
在源宿主-CU确定新建IPSec通道的情况下,源宿主-CU向目标宿主-CU请求psk#2,即源宿主-CU执行S1111。
S1111,源宿主-CU向目标宿主-CU发送psk请求消息。对应地,目标宿主-CU接收来自源宿主-CU的psk请求消息。
示例性地,源宿主-CU向目标宿主-CU发送psk请求(psk request)消息,该psk请求消息包括IP地址#2和IP地址#3,该psk请求消息用于请求获取psk#2,或者说,该psk请求消息用于请求获取通过IP地址#2、IP地址#3,以及迁移之后确定的根密钥推演得到的psk。
S1112,目标宿主-CU根据KgNB#3、IP地址#2和IP地址#3推演psk#2。
示例性地,目标宿主-CU以KgNB#3作为密钥,以IP地址#2和IP地址#3作为输入参数,推演得到psk#2。
S1113,目标宿主-CU向源宿主-CU发送psk响应消息,该psk响应消息包括psk#2。对应地,源宿主-CU接收来自目标宿主-CU的该psk响应消息。
示例性地,目标宿主-CU推演得到psk#2之后,向目标宿主-CU发送psk响应消息,该psk响应消息包括psk#2。可选地,该psk#2还可以包括IP地址#2和/或IP地址#3。
S1114,源宿主-CU保存IP地址#3和psk#2之间的对应关系。
可以理解的是,S1114还可以描述为:源宿主-CU保存IP地址#2和psk#2之间的对应关系,或者源宿主-CU保存IP地址#2、IP地址#3和psk#2之间的对应关系。
S1115-S1122与方法1000中的S1013-S1020类似,这里不再赘述。
在上述方法1000和方法1100中,目标宿主-CU与迁移IAB节点协商确定新的根密钥之后(即上述实施例中的KgNB#3),目标宿主-CU使用该KgNB#3推演得到psk#2,迁移IAB节点使用该KgNB#3推演得到psk#3。由于输入密钥相同,输入参数也相同,因此psk#2和psk#3相同。源宿主-CU从目标宿主-CU获取psk#2之后,源宿主-CU与迁移IAB节点分别使用psk#2和psk#3协商建立IPSec通道#2。由于psk#2和psk#3相同,因此可以避免因源宿主-CU和迁移IAB节点使用的psk不同导致IPSec通道#2建立失败的情况。
另一方面,由于psk#2和psk#3是由更新后的根密钥(即KgNB#3)推演得到的,因此可以保障psk#2和psk#3的新鲜性,提高IPSec通道#2的安全性。
结合图5所述的实施例,图12示出了本申请实施例提供的方法1200的示意性流程图。方法1200可以是方法800的一种可能的实现方式,示例性地,在方法1200中,以接入回传一体化节点为迁移IAB节点、以源宿主节点的集中式单元为源宿主-CU、以目标宿主节点的集中式单元为目标宿主-CU为例进行说明。另外,以第一因特网协议地址为IP地址#3、第三预共享密钥为psk#2、第四预共享密钥为psk#3为例进行说明。
在方法1200中,迁移IAB节点从源宿主-CU向目标宿主-CU迁移之后,迁移IAB节点和源宿主-CU分别根据迁移之前使用的根密钥(即本申请实施例中的KgNB#1)推演新的psk,然后使用该推演得到的新的psk协商建立新的IPSec通道。
下面结合图12中的各个步骤对方法1200作示例性说明。
S1201-S1205与方法500中的S501-S505类似,为了简洁,这里不再赘述。
S1206,源宿主-CU保存KgNB#1。
示例性地,在迁移完成后(即S1204之后),源宿主-CU保存KgNB#1。该KgNB#1是S1204之前,迁移IAB节点和源宿主-CU使用的根密钥,或者说,该KgNB#1是迁移IAB节点和源宿主-CU推演用于生成IPSec通道#1的psk#1的根密钥,或者说,该KgNB#1是迁移IAB节点从源宿主-CU迁移到目标宿主-CU之前使用的根密钥。
具体例如,在切换场景下,源宿主-CU根据KgNB#1或者下一跳参数NH推演新的密钥KgNB#2,然后向目标宿主-CU发送切换请求。在切换完成后,源宿主-CU保存KgNB#1,或者说,源宿主-CU保留KgNB#1,或者说,源宿主-CU不删除KgNB#1,为了方便,后续以源宿主-CU保存KgNB#1为例进行说明。
又例如,在重建立场景下,源宿主-CU根据KgNB#1或者下一跳参数NH推演新的密钥KgNB#2,然后向目标宿主-CU发送Xn UE上下文响应消息。在重建立完成后,源宿主-CU保存KgNB#1。
可选地,在一种实现方式中(记为方式1),源宿主-CU还可以保存与该KgNB#1对应的指示信息#2,该指示信息#2指示该KgNB#1用于在迁移IAB节点发生迁移之后,推演用于建立迁移IAB节点和源宿主-CU之间的安全传输通道的psk。或者,在另一种实现方式中(记为方式2),源宿主-CU可以删除KgNB#2,也就是说,源宿主-CU仅保存KgNB#1而不保存KgNB#2,在这种情况下源宿主-CU也可以不保存该指示信息#2。又或者,在又一种实现方式中(记为方式3),源宿主-CU将KgNB#1保存到预设位置,该预设位置上的KgNB用于在迁移IAB节点发生迁移之后,推演用于建立迁移IAB节点和源宿主-CU之间的安全传输通道的psk。又或者,在又一种实现方式中(记为方式4),源宿主-CU在确定迁移IAB节点发生了迁移之后(例如源宿主-CU向目标宿主-CU发送切换请求之后,或者源宿主-CU接收来自目标宿主-CU的上下文请求消息之后),标记当前IAB节点(即本申请实施例中的迁移IAB节点)为发生迁移的IAB节点。示例性的,可以通过IP地址作为IAB节点标识,在确定当前节点为已经发生迁移的节点的情况下,使用旧的KgNB(即本申请实施例中的KgNB#1)推演用于建立迁移IAB节点和源宿主-CU之间的安全传输通道的psk。
可选地,在1106之前,源宿主-CU可以判断是否需要保存KgNB#1。在一种实现方式中,在满足以下任意一种或多种条件的情况下,源宿主-CU确定保存KgNB#1:
(1)源宿主-CU确定迁移IAB节点发生了切换或者重建立流程。例如,在切换场景下,源宿主-CU向目标宿主-CU发送切换请求消息之后,保存KgNB#1;又例如,在重建立场景下,源宿主-CU接收到来自目标宿主-CU的UE上下文请求消息之后,保存KgNB#1。
(2)源宿主-CU使用基于KgNB#1推演得到的psk#1与迁移IAB节点建立IPSec通道#1,即在S1202,迁移IAB节点和源宿主#1使用psk#1协商建立IPSec通道#1,其中该psk#1是由KgNB#1推演得到的;
(3)IPSec通道#1使用传输模式,即S1202建立的IPSec通道#1使用的是传输模式。
(4)源宿主-CU的本地策略指示源宿主-CU新建IPSec通道。例如,源宿主-CU预置本地策略,该本地策略用于指示在接入该源宿主-CU的IAB节点(即迁移IAB节点)发生迁移的情况下,源宿主-CU释放原有IPSec通道(即IPSec通道#1),并新建IPSec通道(即IPSec通道#2)。
(5)源宿主-CU确定发生迁移的节点为IAB节点,即源宿主确定本申请实施例中的迁移IAB节点为IAB节点,例如,在迁移IAB节点的注册流程,源宿主-CU接收到来自迁移IAB节点的RRC消息,该RRC消息中包括IAB-indication信元,该IAB-indication指示该迁移IAB节点属于IAB节点,则源宿主-CU根据该IAB-indication保存KgNB#1。
可选地,在满足以下任意一种或多种条件的情况下,源宿主可以删除KgNB#1。
(1)迁移完成后,迁移IAB节点与源宿主-CU之间的IPSec通道#2建立完成;
(2)迁移完成后,迁移IAB节点与源宿主-CU之间连接断开;
(3)迁移完成后,以KgNB#1作为输入密钥的psk计算完成(即S1213完成之后)。
S1207,迁移IAB节点保存KgNB#1。
示例性地,在迁移完成后(即S1204之后),迁移IAB节点保存KgNB#1,或者说迁移IAB节点保留KgNB#1,或者说,迁移IAB节点不删除KgNB#1,为了方便,后续以迁移IAB节点保存KgNB#1为例进行说明。例如,迁移IAB节点向目标宿主-CU发送重配置完成消息之后,保存KgNB#1。
可选地,在一种实现方式中(记为方式a),迁移IAB节点还可以保存与该KgNB#1对应的指示信息#3,该指示信息#3指示该KgNB#1用于在迁移IAB节点发生迁移之后,推演用于建立迁移IAB节点和源宿主-CU之间的安全传输通道的psk。或者,在另一种实现方式(记为方式b),迁移IAB节点将KgNB#1保存到预设位置,该预设位置上的KgNB用于在迁移IAB节点发生迁移之后,推演用于建立迁移IAB节点和源宿主-CU之间的安全传输通道的psk。
可选地,在S1207之前,迁移IAB节点可以判断是否需要保存KgNB#1。在一种实现方式中,在满足以下任意一种或多种条件的情况下,迁移IAB节点确定保存KgNB#1:
(1)迁移IAB节点使用基于KgNB#1推演得到的psk#1与源宿主-CU建立IPSec通道#1;
(2)IPSec通道#1使用的是transport模式
(3)迁移IAB节点的本地策略指示迁移IAB节点在发生迁移的情况下新建IPSec通道。
可选地,在满足以下任意一种或多种条件的情况下,迁移IAB节点可以删除KgNB#1。
(1)迁移完成后,迁移IAB节点与源宿主-CU之间的IPSec通道建立完成(即S1217-S1218执行完成)。
(2)迁移完成后,迁移IAB节点与源宿主-CU之间的连接断开。
(3)迁移完成后,以第一KgNB作为输入密钥的psk计算完成(即S1215执行完成)。
(4)迁移IAB节点执行重鉴权流程。
S1208-S1211与方法500中的S506-S509类似,S1212与方法1100中的S1110类似,为了简洁,这里不再赘述。
S1213,源宿主-CU根据IP地址#2、IP地址#3和KgNB#1推演psk#2。
示例性地,源宿主-CU以S1206保存的KgNB#1作为密钥,以IP地址#2和IP地址#3作为输入参数,推演得到psk#2。
对应于S1206中的方式1,源宿主-CU根据与KgNB#1对应的指示信息#2,确定使用KgNB#1推演psk#2;对应于上述S1206中的方式2,源宿主-CU根据本地保存的KgNB(即KgNB#1),确定使用KgNB#1推演psk#2;对应于上述S1206中的方式3,源宿主-CU根据保存在预设位置的KgNB确定使用KgNB#1推演psk#2;对应于上述S1206中的方式4,源宿主-CU根据标记确定迁移IAB节点为发生迁移的IAB节点,因此源宿主-CU确定使用KgNB#1推演psk#2。
S1214与方法1100中的S1115类似,这里不再赘述。
S1215,迁移IAB节点根据IP地址#2、IP地址#3和KgNB#1推演psk#2。
示例性地,迁移IAB节点以S1207保存的KgNB#1作为密钥,以IP地址#2和IP地址#3作为输入参数,推演得到psk#3。
对应于S1207中的方式a,迁移IAB节点根据与KgNB#1对应的指示信息#3,确定使用KgNB#1推演psk#2;对应于S1207中的方式b,迁移IAB节点根据保存在预设位置上的KgNB确定使用KgNB#1推演psk#2。或者,在另一种实现方式中,迁移IAB节点可以根据IP地址确定对端是否为源宿主-CU。例如,迁移IAB节点根据IP地址#2确定对端为源宿主-CU的,则迁移IAB节点确定使用KgNB#1推演psk#3,否则迁移IAB节点确定使用KgNB#3推演psk#3。
S1216-S1217与方法1000中的S1015-S1016,S1218-S1219与方法1000中的S1018-S1019类似,为了简洁,这里不再赘述。
在上述方法1200中,迁移IAB节点从源宿主-CU向目标宿主-CU迁移之前,迁移IAB节点和源宿主-CU拥有相同的根密钥(即本申请实施例中的KgNB#1),迁移IAB节点和源宿主-CU可以分别使用该KgNB#1推演用于建立IPSec通道#1的psk#1。迁移IAB节点和源宿主-CU可以保存该KgNB#1,以用于在迁移IAB节点从源宿主-CU向目标宿主-CU迁移之后,迁移IAB节点和源宿主-CU推演新的psk,从而可以使得迁移IAB节点和源宿主-CU使用新的psk协商建立IPSec通道#2。由于迁移IAB节点和源宿主-CU用于推演新的psk输入密钥相同(均为KgNB#1),因此,迁移IAB节点和源宿主-CU推演得到的新的psk相同,因此可以避免因源宿主-CU和迁移IAB节点使用的psk不同导致IPSec通道#2建立失败的情况。
另外,相较于方法1000-方法1100,在方法1200中,无需由目标宿主推演新的psk,源宿主-CU也无需从目标宿主-CU获取新的psk,因此减少了信息的交互,psk的维护也更加简单。
结合图5所述的实施例,图13示出了本申请实施例提供的方法1300的示意性流程图。方法1300可以是方法900的一种可能的实现方式,示例性地,在方法1300中,以接入回传一体化节点为迁移IAB节点、以源宿主节点的集中式单元为源宿主-CU、以目标宿主节点的集中式单元为目标宿主-CU为例进行说明。另外,以第五预共享密钥为psk#1为例进行说明。
在方法1300中,在迁移IAB节点从源宿主-CU向目标宿主-CU迁移之后,迁移IAB节点和源宿主-CU使用psk#1协商建立IPSec通道#2,其中该psk#1是在迁移IAB节点迁移之前,迁移IAB节点和源宿主-CU用于协商建立IPSec通道#1的psk。
下面结合图13中的各个步骤对方法1300作示例性说明。
S1301-S1304与方法500中的S501-S504类似,为了简洁,这里不再赘述。
S1305,目标宿主-CU获取IP地址#1。
示例性地,目标宿主-CU可以从源宿主-CU获取IP地址#1。目标宿主-CU可以在迁移IAB节点进行迁移的过程(即在S1304过程中)中获取IP地址#1,也可以在迁移IAB节点迁移完成之后(即在S1304完成之后)获取IP地址#1,本申请不作限定。
这里的IP地址#1指的是迁移IAB节点进行迁移之前的的IP地址,具体可参考方法500中的S502部分的描述。
作为一种示例,源宿主-CU可以在S1304过程中,复用现有消息向目标宿主-CU发送IP地址#1。例如,在切换场景中,源宿主-CU向目标宿主-CU发送切换请求消息时,在该切换请求消息中携带IP地址#1。又例如,在重建立场景中,源宿主-CU向目标宿主-CU发送UE上下文获取消息时,在该UE上下文获取消息中携带IP地址#1。可以理解的是,源宿主-CU也可以新生成一条消息向目标宿主-CU发送IP地址#1,本申请不作限定。
作为另一种示例,目标宿主-CU可以向源宿主-CU发送请求消息以请求获取该IP地址#1,源宿主-CU根据目标宿主-CU的请求,向目标宿主-CU发送该IP地址#1。
S1306,目标宿主-CU生成IP地址#3。
S1306与方法500中的S505类似,这里不再赘述。
S1307,目标宿主-CU向迁移IAB节点发送RRC消息,该RRC消息中携带IP地址#3和IP地址#1。对应地,迁移IAB节点接收来自目标宿主的该RRC消息。
示例性地,该RRC消息具体可以是RRC重配置(RRC Reconfiguration)消息。
可选地,该IP地址#3和该IP地址#1之间存在对应关系,IP地址#3和IP地址#1之间的对应关系可以用{IP地址#3,IP地址#1}表示,该对应关系的具体格式可以如表6所示。
表6
表6包括2个IAB宿主-CU psk信息元素(IAB-donor-CU PSK Info Item IEs):oldIAB-DU IP Address和new IAB-DU IP Address,其中old IAB-DU IP Address表示迁移IAB节点在发送迁移之前使用的IP地址(即本申请实施例中的IP地址#1),new IAB-DU IPAddress表示目标宿主-CU在迁移IAB节点发生迁移之后为该迁移IAB节点生成的IP地址(即本申请实施例中的IP地址#3)。表6中的“Present”一列表示各个元素对应的状态,其中“M”表示必选,“O”表示可选,因此从表6中可以看出,old IAB-DU IP Address和new IAB-DU IPAddress均为必选的元素。可以理解的是,IP地址#1可以包括一个或多个IP地址,IP地址#3也可以包括一个或多个IP地址。下面结合表7介绍一种可能的示例。
表7
IP地址#1 | IP地址#3 |
IP_9 | IP_12 |
IP_10 | IP_13 |
IP_11 |
在表7给出的示例中,IP地址#1包括3个IP地址:IP_9、IP_10、IP_11,IP地址#3包括2个IP地址:IP_12、IP_13,并且IP_9与IP_12对应,IP_10与IP_13对应。也就是说,在该示例中,IP地址#1和IP地址#3之间的对应关系包括{IP_9,IP_12},以及{IP_10,IP_13},该对应关系的具体格式可以如表8所示。
表8
下面结合表9介绍另一种可能的示例。
表9
IP地址#1 | IP地址#3 |
IP_14 | IP_16 |
IP_15 | IP_17 |
IP_18 |
在表9给出的示例中,IP地址#1包括2个IP地址:IP_14、IP_15,IP地址#3包括3个IP地址:IP_16、IP_17、IP_18,并且IP_14与IP_16对应,IP_15与IP_17对应。由于IP地址#3包括的IP地址的数量多于IP地址#1中包括的IP地址的数量,在这种情况下,可以设置IP_18与IP_14和IP_15中的任一个对应。为了方便,后续以IP_18与IP_14对应为例进行说明。也就是说,在该示例中,IP地址#3和IP地址#1之间的对应关系包括{IP_9,IP_12},{IP_10,IP_13},以及{IP_18,IP_14}。
S1308,迁移IAB节点保存IP地址#3和psk#1之间的对应关系。
示例性地,迁移IAB节点接收来自目标宿主-CU的RRC消息之后,获取IP地址#3和IP地址#1之间的对应关系,然后迁移IAB节点根据IP地址#1(可选地还包括IP地址#2)确定对应的psk#1,并保存IP地址#3和psk#1之间的对应关系(即保存{IP地址#3,psk#1})。
迁移IAB节点可以在接收到来自目标宿主-CU的RRC消息之后,便保存该IP地址#3和psk#1之间的对应关系,也可以在满足以下任意一种或多种条件的情况下,保存该IP地址#3和psk#1之间的对应关系:
(1)迁移IAB节点使用psk#1与源宿主-CU建立IPSec通道#1;
(2)IPSec通道#1使用的是transport模式
(3)迁移IAB节点的本地策略指示迁移IAB节点在发生迁移的情况下,新建IPSec通道。
在一种实现方式中,迁移IAB节点直接保存{IP地址#3,psk#1}的对应关系;在另一种实现方式中,迁移IAB节点保存{IP地址#1,psk#1}的对应关系和{IP地址#3,IP地址#1}的对应关系;在又一种实现方式中,迁移IAB节点可以保存{IP地址#3,IP地址#1,psk#1}的对应关系;在又一种实现方式中,迁移IAB节点保存{IP地址#3,IP地址#1,IP地址#2,psk#1}的对应关系。为了方便说明,后续以迁移IAB节点保存{IP地址#3,psk#1}的对应关系为例进行说明。
结合表7示出的示例,假设IP地址#2包括1个IP地址:IP_14,则psk#1包括3个psk:psk_9、psk_10、psk_11,具体情况如表10所示。
表10
从表10中可以看出,psk_9与IP_9、IP_12和IP_14对应,psk_10与IP_10、IP_13和IP_14对应,psk_11与IP_11和IP_14对应。
因此,迁移IAB节点保存的IP地址#3和psk#1之间的对应关系包括{IP_12,psk_9}以及{IP_13,psk_10}。
可选地,迁移IAB节点还可以保存IP地址#2、IP地址#3和psk#1之间的对应关系,该对应关系包括{IP_14,IP_12,psk_9},以及{IP_14,IP_13,psk_10}。
结合表9给出的示例,假设IP地址#2包括两个IP地址:IP_19、IP_20,则psk#1包括4个psk:psk_12、psk_13、psk_14、psk_15,具体情况如表11所示。
表11
从表11中可以看出,psk_12与IP_14、IP_16和IP_19对应,psk_13与IP_14、IP_16和IP_20对应,psk_14与IP_15、IP_17和IP_19对应,psk_15与IP_15、IP_17和IP_20对应,psk_12还与IP_14、IP_18和IP_19对应,psk_13还与IP_14、IP_18和IP_20对应。
在这种情况下,迁移IAB节点保存IP地址#2、IP地址#3和psk#1之间的对应关系,该对应关系包括{IP_19,IP_16,psk_12}、{IP_20,IP_16,psk_13}、{IP_19,IP_17,psk_14}、{IP_20,IP_17,psk_15}、{IP_19,IP_19,psk_12}、{IP_20,IP_18,psk_13}。
S1309,目标宿主-CU向源宿主-CU发送IAB传输迁移消息,该IAB传输迁移消息包括IP地址#3和IP地址#1。可选地,该IP地址#3和该IP地址#1存在对应关系,具体实现方式可参考S1307部分的描述,这里不再赘述。
S1310,源宿主-CU保存IP地址#3和psk#1之间的对应关系。
示例性地,源宿主-CU接收来自目标宿主的IAB传输迁移消息之后,获取IP地址#3和IP地址#1之间的对应关系,然后源宿主-CU根据IP地址#1(可选地还包括IP地址#2)确定对应的psk#1,并保存IP地址#3和psk#1之间的对应关系。具体示例与S1308类似,区别在于S1310由源宿主-CU执行,S1308由迁移IAB节点执行。
源宿主-CU可以在接收到来自目标宿主-CU的IAB传输迁移消息之后,便保存该IP地址#3和psk#1之间的对应关系,也可以在满足以下任意一种或多种条件的情况下,保存该IP地址#3和psk#1之间的对应关系:
(1)源宿主-CU确定迁移IAB节点发生了切换或者重建立流程。例如,在切换场景下,源宿主-CU向目标宿主-CU发送切换请求消息之后,保存KgNB#1;又例如,在重建立场景下,源宿主-CU接收到来自目标宿主-CU的UE上下文请求消息之后,保存KgNB#1。
(2)源宿主-CU使用psk#1与迁移IAB节点建立IPSec通道#1,即在S1302,迁移IAB节点和源宿主#1使用psk#1协商建立IPSec通道#1,其中该psk#1是由KgNB#1推演得到的;
(3)IPSec通道#1使用传输模式,即S1302建立的IPSec通道#1使用的是传输模式。
(4)源宿主-CU的本地策略指示源宿主-CU新建IPSec通道。例如,源宿主-CU预置本地策略,该本地策略用于指示在接入该源宿主-CU的IAB节点(即迁移IAB节点)发生迁移的情况下,源宿主-CU释放原有IPSec通道(即IPSec通道#1),并新建IPSec通道(即IPSec通道#2)。
(5)源宿主-CU确定发生迁移的节点为IAB节点,即源宿主确定本申请实施例中的迁移IAB节点为IAB节点,例如,在迁移IAB节点的注册流程,源宿主-CU接收到来自迁移IAB节点的RRC消息,该RRC消息中包括IAB-indication信元,该IAB-indication指示该迁移IAB节点属于IAB节点,则源宿主-CU根据该IAB-indication保存KgNB#1。
S1312-S1313与方法1000中的S1011-S1013类似,S1314与方法1000中的S1015类似,这里不再赘述。
进一步地,迁移IAB节点和源宿主-CU协商建立安全传输通道。例如,迁移IAB节点与源宿主-CU使用IKEv2 PSK协议建立IPSec安全传输通道。为了方便,将这里的IPSec安全传输通道记为IPSec通道#2。下面结合S1315-S1317对该过程作示例性说明。
S1315,迁移IAB节点向源宿主-CU发送请求消息,该请求消息中包括IP地址#2和IP地址#3。对应地,源宿主-CU接收来自该迁移IAB节点的该请求消息。
S1316,迁移IAB节点根据IP地址#3,以及IP地址#3和psk#1之间的对应关系确定psk#1。
示例性地,迁移IAB节点在确定使用IP地址#2和IP地址#3向源宿主-CU发起IPsec通道建立流程的情况下,迁移IAB节点可以判断是否存储有与IP地址#3(可选地还包括IP地址#2)对应的psk,例如,当迁移IAB确定存储有IP地址#3和psk#1之间的对应关系的情况下,迁移IAB节点根据IP地址#3,以及IP地址#3和psk#1之间的对应关系,确定psk#1。如果迁移IAB节点确定没有存有IP地址#3对应的psk,则迁移IAB节点需要推演新的psk。
可以理解的是,如果迁移IAB节点在S1308保存的是IP地址#2、IP地址#3和psk#1之间的对应关系,则在S1316,迁移IAB节点根据IP地址#2、IP地址#3,以及IP地址#2、IP地址#3和psk#1之间的对应关系,确定psk#1。
还可以理解的是,S1316可以在S1315之前执行,也可以在S1315之后执行,还可以在S1318之后执行,本申请不作限定。
S1317,源宿主-CU根据IP地址#3,以及IP地址#3和psk#1的对应关系确定psk#2。
示例性地,源宿主-CU接收到来自迁移IAB节点的请求消息之后,根据该IP地址#3和本地保存的IP地址#3和psk#1的对应关系,确定psk#1。
可以理解的是,如果源宿主-CU在S1310保存的是IP地址#2、IP地址#3和psk#1之间的对应关系,则在S1317,源宿主根据IP地址#2、IP地址#3,以及IP地址#2、IP地址#3和psk#1之间的对应关系,确定psk#1。
还可以理解的是,S1317可以在S1315之后执行,也可以在S1318之后执行,还可以在S1319的过程中执行,例如,源宿主-CU接收到来自迁移IAB节点的认证向量之后,执行S1317。
S1318与方法1000中的S1018类似,这里不再赘述。
S1319,迁移IAB节点和源宿主-CU分别使用psk#1执行IPSec认证流程。
具体过程可参考方法1000中的S1019,区别在于,在S1019中,迁移IAB节点和源宿主-CU分别使用psk#3和psk#2执行IPSec认证流程,而在S1319,迁移IAB节点和源宿主-CU均使用psk#1执行IPSec认证流程。
S1320与方法1000中的S1020类似,为了简洁,这里不再赘述。
图14示出了本申请实施例提供的方法1400的示意性流程图。在方法1400中,在迁移IAB节点从源宿主-CU向目标宿主-CU迁移之后,使用psk#1协商建立IPSec通道#2,其中该psk#1是在迁移IAB节点迁移之前,迁移IAB节点和源宿主-CU用于协商建立IPSec通道#1的psk。
下面结合图14中的各个步骤对方法1400作示例性说明。
S1401-S1407与方法500的S501-S507类似,为了简洁,这里不再赘述。
S1408,源宿主-CU保存IP地址#3和psk#1之间的对应关系。
示例性地,源宿主-CU接收来自目标宿主-CU的IP地址#3之后,确定IP地址#3和IP地址#1的对应关系,该对应关系用于指示使用IP地址#1对应的psk(即psk#1)协商建立IP地址#3对应的IPSec通道#2。也就是说,当迁移IAB节点使用IP地址#3作为源IP地址请求建立IPSec通道#2时,源宿主-CU使用psk#1执行IPSec认证流程。
进一步地,源宿主-CU保存IP地址#3和psk#1之间的对应关系。
可选地,源宿主-CU也可以保存IP地址#2、IP地址#3和psk#1之间的对应关系。该对应关系用于指示使用psk#1协商建立IP地址#2和IP地址#3对应的IPSec通道#2。也就是说,当迁移IAB节点保存食用IP地址#3作为源IP地址,使用IP地址#2作为目标IP地址请求建立IPSec通道#2时,源宿主-CU使用psk#1执行IPSec认证流程。
S1409,源宿主-CU通过目标路径向迁移IAB节点发送IP地址#1和IP地址#3之间的对应关系。
该对应关系的具体格式可参考方法1300中的S1307部分的描述,这里不再赘述。
可选地,在源宿主-CU在S1408保存了IP地址#2、IP地址#3和psk#1之间的对应关系的情况下,源宿主-CU可以在S1409通过目标路径向迁移IAB节点发送IP地址#1、IP地址#2和IP地址#3之间的对应关系。
可以理解的是,源宿主-CU在S1409也可以直接向迁移IAB节点发送IP地址#3和psk#1之间的对应关系(或者是IP地址#3、IP地址#2和psk#1之间的对应关系),本申请对此不作限定。
S1410,迁移IAB节点保存IP地址#3和psk#1之间的对应关系。
S1410与方法1300中的S1308类似,这里不再赘述。
S1411-S1420与方法1300中的S1311-S1320类似,这里不再赘述。
在上述方法1300和方法1400中,迁移IAB节点从源宿主-CU向目标宿主-CU迁移之前,迁移IAB节点和源宿主-CU使用相同的psk(即本申请实施例中的psk#1)协商建立IPSec通道#1。在迁移之后,迁移IAB节点和源宿主-CU仍使用该psk#1协商建立新的IPSec通道#2,因此可以避免因源宿主-CU和迁移IAB节点使用的psk不同导致IPSec通道#2建立失败的情况。
另一方面,在迁移IAB节点发生迁移之后,迁移IAB节点和源宿主-CU不需要重新推演新的psk,可以减少计算开销。
相应于上述各方法实施例给出的方法,本申请实施例还提供了相应的装置,该装置包括用于执行上述各个方法实施例相应的模块。该模块可以是软件,也可以是硬件,或者是软件和硬件结合。可以理解的是,上述各方法实施例所描述的技术特征同样适用于以下装置实施例,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,这里不再赘述。
图15是本申请实施例提供的通信装置10的示意性框图。该装置10包括收发模块11和处理模块12。收发模块11可以实现相应的通信功能,处理模块12用于进行数据处理,或者说该收发模块11用于执行接收和发送相关的操作,该处理模块12用于执行除了接收和发送以外的其他操作。收发模块11还可以称为通信接口或通信单元。
可选地,该装置10还可以包括存储模块13,该存储模块13可以用于存储指令和/或数据,处理模块12可以读取存储模块中的指令和/或数据,以使得装置实现前述各个方法实施例中设备或网元的动作。
在第一种设计中,该装置10可对应于上文方法实施例中的目标宿主节点的集中式单元(如方法700-方法900中的目标宿主节点的集中式单元,或者是方法500、方法1000至方法1400中的目标宿主-CU),或者是目标宿主节点的集中式单元的组成部件(如芯片)。
该装置10可实现对应于上文方法实施例中的目标宿主节点的集中式单元执行的步骤或者流程,其中,收发模块11可用于执行上文方法实施例中目标宿主节点的集中式单元的收发相关的操作,处理模块12可用于执行上文方法实施例中目标宿主节点的集中式单元的处理相关的操作。
在第二种设计中,该装置10可对应于上文方法实施例中的源宿主节点的集中式单元(如方法700-方法900中的源宿主节点的集中式单元,或者是方法500、方法1000-方法1400中的源宿主-CU),或者是源宿主节点的集中式单元的组成部件(如芯片)。
该装置10可实现对应于上文方法实施例中的源宿主节点的集中式单元执行的步骤或者流程,其中,收发模块11可用于执行上文方法实施例中源宿主节点的集中式单元的收发相关的操作,处理模块12可用于执行上文方法实施例中源宿主节点的集中式单元的处理相关的操作。
第三种设计中,该装置10可对应于上文方法实施例中的接入回传一体化节点(如方法700-方法900中的接入回传一体化节点,或者是方法500、方法1000-方法1400中的迁移IAB节点),或者是接入回传一体化节点的组成部件(如芯片)。
该装置10可实现对应于上文方法实施例中的接入回传一体化节点执行的步骤或者流程,其中,收发模块11可用于执行上文方法实施例中的接入回传一体化节点的收发相关的操作,处理模块12可用于执行上文方法实施例中接入回传一体化节点的处理相关的操作。
应理解,各模块执行上述相应步骤的具体过程在上述各方法实施例中已经详细说明,为了简洁,在此不再赘述。
还应理解,这里的装置10以功能模块的形式体现。这里的术语“模块”可以指应用特有集成电路(application specific integrated circuit,ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中,本领域技术人员可以理解,装置10可以具体为上述实施例中的目标宿主节点的集中式单元,可以用于执行上述各方法实施例中与目标宿主节点的集中式单元对应的各个流程和/或步骤;或者,装置10可以具体为上述实施例中的源宿主节点的集中式单元,可以用于执行上述各方法实施例中与源宿主节点的集中式单元对应的各个流程和/或步骤;或者,装置10可以具体为上述实施例中的接入回传一体化节点,可以用于执行上述各方法实施例中与可以用于执行上述各方法实施例中与对应的各个流程和/或步骤,为避免重复,在此不再赘述。
上述各个方案的装置10具有实现上述方法中的设备(如目标宿主节点的集中式单元,或源宿主节点的集中式单元,或接入回传一体化节点)所执行的相应步骤的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块;例如收发模块可以由收发机替代(例如,收发模块中的发送单元可以由发送机替代,收发模块中的接收单元可以由接收机替代),其它单元,如处理模块等可以由处理器替代,分别执行各个方法实施例中的收发操作以及相关的处理操作。
此外,上述收发模块11还可以是收发电路(例如可以包括接收电路和发送电路),处理模块可以是处理电路。
图16是本申请实施例提供另一种通信装置20的示意图。该装置20包括处理器21,处理器21用于执行存储器22存储的计算机程序或指令,或读取存储器22存储的数据/信令,以执行上文各方法实施例中的方法。可选地,处理器21为一个或多个。
可选地,如图16所示,该装置20还包括存储器22,存储器22用于存储计算机程序或指令和/或数据。该存储器22可以与处理器21集成在一起,或者也可以分离设置。可选地,存储器22为一个或多个。
可选地,如图16所示,该装置20还包括收发器23,收发器23用于信号的接收和/或发送。例如,处理器21用于控制收发器23进行信号的接收和/或发送。
作为一种方案,该装置20用于实现上文各个方法实施例中由目标宿主节点的集中式单元执行的操作。
作为另一种方案,该装置20用于实现上文各个方法实施例中由源宿主节点的集中式单元执行的操作。
作为另一种方案,该装置20用于实现上文各个方法实施例中由接入回传一体化节点执行的操作。
应理解,本申请实施例中提及的处理器可以是中央处理单元(centralprocessing unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中提及的存储器可以是易失性存储器和/或非易失性存储器。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM)。例如,RAM可以用作外部高速缓存。作为示例而非限定,RAM包括如下多种形式:静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlinkDRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
需要说明的是,当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时,存储器(存储模块)可以集成在处理器中。
还需要说明的是,本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
图17是本申请实施例提供一种芯片系统30的示意图。该芯片系统30(或者也可以称为处理系统)包括逻辑电路31以及输入/输出接口(input/output interface)32。
其中,逻辑电路31可以为芯片系统30中的处理电路。逻辑电路31可以耦合连接存储单元,调用存储单元中的指令,使得芯片系统30可以实现本申请各实施例的方法和功能。输入/输出接口32,可以为芯片系统30中的输入输出电路,将芯片系统30处理好的信息输出,或将待处理的数据或信令信息输入芯片系统30进行处理。
作为一种方案,该芯片系统30用于实现上文各个方法实施例中由目标宿主节点的集中式单元(如图5-图7中的目标宿主节点的集中式单元,或图8、图10-图14中的目标宿主-CUC)执行的操作。
例如,逻辑电路31用于实现上文方法实施例中由目标宿主节点的集中式单元执行的处理相关的操作,如,图5-图7所示实施例中的目标宿主节点的集中式单元执行的处理相关的操作,或图8、图9至图14中任意一个所示实施例中的目标宿主-CU执行的处理相关的操作;输入/输出接口32用于实现上文方法实施例中由目标宿主节点的集中式单元执行的发送和/或接收相关的操作,如,图5-图7所示实施例中的5-图7执行的发送和/或接收相关的操作,或图8、图9至图14中任意一个所示实施例中的目标宿主-CU执行的发送和/或接收相关的操作。
作为另一种方案,该芯片系统30用于实现上文各个方法实施例中由源宿主节点的集中式单元(如图5-图7中的源宿主节点的集中式单元,或图8、图10-图14中的源宿主-CU)执行的操作。
例如,逻辑电路31用于实现上文方法实施例中由源宿主节点的集中式单元执行的处理相关的操作,如,图5-图7所示实施例中的源宿主节点的集中式单元执行的处理相关的操作,或图8、图10至图14中任意一个所示实施例中的源宿主-CU执行的处理相关的操作;输入/输出接口32用于实现上文方法实施例中由源宿主节点的集中式单元执行的发送和/或接收相关的操作,如,图5-图7所示实施例中的源宿主节点的集中式单元执行的发送和/或接收相关的操作,或图8、图9-图14中任意一个所示实施例中的源宿主-CU执行的发送和/或接收相关的操作。
作为另一种方案,该芯片系统30用于实现上文各个方法实施例中由接入回传一体化节点(如图5-图7中的接入回传一体化节点,或图8、图9-图14中的迁移IAB节点)执行的操作。
例如,逻辑电路31用于实现上文方法实施例中由迁移IAB节点执行的处理相关的操作,如,图5-图7所示实施例中的迁移IAB节点执行的处理相关的操作,或图8、图9-图14中任意一个所示实施例中的迁移IAB节点执行的处理相关的操作;输入/输出接口32用于实现上文方法实施例中由迁移IAB节点执行的发送和/或接收相关的操作,如,图5-图7所示实施例中的迁移IAB节点执行的发送和/或接收相关的操作,或图8、图9-图14中任意一个所示实施例中的迁移IAB节点执行的发送和/或接收相关的操作。
本申请实施例还提供一种计算机可读存储介质,其上存储有用于实现上述各方法实施例中由设备执行的方法的计算机指令。
例如,该计算机程序被计算机执行时,使得该计算机可以实现上述方法各实施例中由目标宿主节点的集中式单元执行的方法。
又如,该计算机程序被计算机执行时,使得该计算机可以实现上述方法各实施例中由源宿主节点的集中式单元执行的方法。
又如,该计算机程序被计算机执行时,使得该计算机可以实现上述方法各实施例中由接入回传一体化节点执行的方法。
本申请实施例还提供一种计算机程序产品,包含指令,该指令被计算机执行时以实现上述各方法实施例中由设备(如目标宿主节点的集中式单元,又如源宿主节点的集中式单元,又如接入回传一体化节点)执行的方法。
本申请实施例还提供了一种通信系统,包括前述的目标宿主节点的集中式单元和源宿主节点的集中式单元。可选地,还包括前述的接入回传一体化节点。
上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例,此处不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。此外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如,所述计算机可以是个人计算机,服务器,或者网络设备等。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD)等。例如,前述的可用介质包括但不限于:U盘、移动硬盘、只读存储器(read-onlymemory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (34)
1.一种通信系统,应用于接入回传一体化节点从源宿主节点的集中式单元迁移到目标宿主节点的集中式单元的场景下,其特征在于,所述系统包括目标宿主节点的集中式单元和源宿主节点的集中式单元,
所述目标宿主节点的集中式单元,用于根据第一根密钥、所述接入回传一体化节点的第一因特网协议地址和所述源宿主节点的集中式单元的第二因特网协议地址,推演得到第一预共享密钥;向所述源宿主节点的集中式单元发送所述第一预共享密钥;
所述源宿主节点的集中式单元,用于接收来自所述目标宿主节点的集中式单元的所述第一预共享密钥;根据所述第一预共享密钥对所述接入回传一体化节点进行安全认证,以建立所述源宿主节点的集中式单元与所述接入回传一体化节点之间的第一安全传输通道。
2.根据权利要求1所述的系统,其特征在于,
所述目标宿主节点的集中式单元,还用于向所述源宿主节点的集中式单元发送与所述第一预共享密钥对应的地址信息,所述地址信息包括所述第一因特网协议地址和/或所述第二因特网协议地址;
所述源宿主节点的集中式单元,还用于接收来自所述目标宿主节点的集中式单元的所述地址信息;保存所述第一预共享密钥和所述地址信息的对应关系。
3.根据权利要求2所述的系统,其特征在于,所述源宿主节点的集中式单元,用于根据所述第一预共享密钥对所述接入回传一体化节点进行安全认证,包括:
所述源宿主节点的集中式单元,用于接收来自所述接入回传一体化节点的请求消息,所述请求消息用于请求建立所述安全传输通道,所述请求消息包括所述地址信息;根据所述地址信息,以及所述第一预共享密钥和所述地址信息的对应关系,确定所述第一预共享密钥;根据所述第一预共享密钥,对所述接入回传一体化节点进行安全认证。
4.根据权利要求1至3中任一项所述的系统,其特征在于,
所述源宿主节点的集中式单元,还用于向所述目标宿主节点的集中式单元发送所述第二因特网协议地址;
所述目标宿主节点的集中式单元,还用于接收来自所述源宿主节点的集中式单元的所述第二因特网协议地址。
5.根据权利要求4所述的系统,其特征在于,所述源宿主节点的集中式单元,还用于向所述目标宿主节点的集中式单元发送所述第二因特网协议地址,包括:
所述源宿主节点的集中式单元,还用于向所述目标宿主节点的集中式单元发送切换请求消息,所述切换请求消息包括所述第二因特网协议地址,所述切换请求消息用于请求将所述接入回传一体化节点从所述源宿主节点的集中式单元切换到所述目标宿主节点的集中式单元;
所述目标宿主节点的集中式单元,还用于接收来自所述源宿主节点的集中式单元的所述第二因特网协议地址,包括:
所述目标宿主节点的集中式单元,还用于接收来自所述源宿主节点的集中式单元的包括所述第二因特网协议地址的所述切换请求消息。
6.根据权利要求4所述的系统,其特征在于,
所述目标宿主节点的集中式单元,还用于接收来自所述接入回传一体化节点的重建立请求消息,所述重建立请求消息用于请求建立所述接入回传一体化节点和所述目标宿主节点的集中式单元之间的无线资源控制连接;响应于所述重建立请求消息,向所述源宿主节点的集中式单元发送上下文请求消息,所述上下文请求消息用于请求获取所述接入回传一体化节点的上下文;
所述源宿主节点的集中式单元,还用于向所述目标宿主节点的集中式单元发送所述第二因特网协议地址,包括:所述源宿主节点的集中式单元,还用于接收来自所述目标宿主节点的所述上下文请求消息;响应于所述上下文请求消息,向所述目标宿主节点的集中式单元发送上下文响应消息,所述上下文响应消息包括所述接入回传一体化节点的上下文,所述上下文包括所述第二因特网协议地址;
所述目标宿主节点的集中式单元,还用于接收来自所述源宿主节点的集中式单元的所述第二因特网协议地址,包括:
所述目标宿主节点的集中式单元,还用于接收来自所述源宿主节点的集中式单元的所述接入回传一体化节点的上下文,所述上下文包括所述第二因特网协议地址。
7.根据权利要求1至6中任一项所述的系统,其特征在于,所述源宿主节点的集中式单元,还用于向所述目标宿主节点的集中式单元发送密钥请求消息,所述密钥请求消息用于请求获取所述第一预共享密钥;
所述目标宿主节点的集中式单元,还用于接收来自所述源宿主节点的集中式单元的所述密钥请求消息。
8.根据权利要求1至7中任一项所述的系统,其特征在于,所述通信系统还包括所述接入回传一体化节点,所述接入回传一体化节点用于根据所述第一根密钥、所述第一因特网协议地址和所述第二因特网协议地址,推演得到第二预共享密钥,所述第二预共享密钥与所述第一预共享密钥相同;根据所述第二预共享密钥对所述源宿主节点的集中式单元进行安全认证,以建立所述第一安全传输通道。
9.根据权利要求1至8中任一项所述的系统,其特征在于,所述目标宿主节点的集中式单元,还用于接收来自所述接入回传一体化节点的迁移完成的消息,所述迁移完成的消息用于指示所述接入回传一体化节点完成从所述源宿主节点的集中式单元向所述目标宿主节点的集中式单元的迁移;响应于所述迁移完成的消息,向接入和移动性管理功能网元发送路径转换请求消息,所述路径转换请求消息包括所述接入回传一体化节点的标识信息;接收来自所述接入和移动性管理功能网元的路径转换响应消息,所述路径转换响应消息包括下一跳参数;根据所述下一跳参数推演得到所述第一根密钥。
10.根据权利要求1至9中任一项所述的系统,其特征在于,所述第一因特网协议地址,是在所述接入回传一体化节点从所述源宿主节点的集中式单元向所述目标宿主节点的集中式单元迁移之后,网络管理设备或者所述目标宿主节点的集中式单元为所述接入回传一体化节点的分布式单元生成的地址信息。
11.根据权利要求1至9中任一项所述的系统,其特征在于,所述目标宿主节点的集中式单元,还用于,在所述接入回传一体化节点从所述源宿主节点的集中式单元迁移到所述目标宿主节点的集中式单元之后,为所述接入回传一体化节点的分布式单元生成所述第一因特网协议地址。
12.根据权利要求11所述的系统,其特征在于,所述目标宿主节点的集中式单元,还用于,向所述接入回传一体化节点发送所述第一因特网协议地址。
13.一种通信方法,其特征在于,所述方法应用于接入回传一体化节点的集中式单元从源宿主节点迁移到目标宿主节点的集中式单元的场景下,所述方法包括:
目标宿主节点的集中式单元根据第一根密钥、接入回传一体化节点的第一因特网协议地址和源宿主节点的集中式单元的第二因特网协议地址,推演得到第一预共享密钥,所述第一预共享密钥用于建立所述接入回传一体化节点和所述源宿主节点的集中式单元之间的安全传输通道;
所述目标宿主节点的集中式单元向所述源宿主节点的集中式单元发送所述第一预共享密钥。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:
所述目标宿主节点的集中式单元向所述源宿主节点的集中式单元发送与所述第一预共享密钥对应的地址信息,所述地址信息包括所述第一因特网协议地址和/或所述第二因特网协议地址。
15.根据权利要求13或14所述的方法,其特征在于,所述方法还包括:
所述目标宿主节点的集中式单元接收来自所述源宿主节点的集中式单元的密钥请求消息,所述密钥请求消息用于请求获取所述第一预共享密钥。
16.根据权利要求13至15中任一项所述的方法,其特征在于,在所述根据第一根密钥、接入回传一体化节点的第一因特网协议地址和源宿主节点的集中式单元的第二因特网协议地址,推演得到第一预共享密钥之前,所述方法还包括:
所述目标宿主节点的集中式单元接收来自所述源宿主节点的集中式单元的所述第二因特网协议地址。
17.根据权利要求16所述的方法,其特征在于,所述接收来自所述源宿主节点的集中式单元的所述第二因特网协议地址,包括:
所述目标宿主节点的集中式单元接收来自所述源宿主节点的集中式单元的切换请求消息,所述切换请求消息包括所述第二因特网协议地址,所述切换请求消息用于请求将所述接入回传一体化节点从所述源宿主节点的集中式单元切换到所述目标宿主节点的集中式单元。
18.根据权利要求16所述的方法,其特征在于,所述接收来自所述源宿主节点的集中式单元的所述第二因特网协议地址,包括:
所述目标宿主节点的集中式单元接收来自所述接入回传一体化节点的重建立请求消息,所述重建立请求消息用于请求建立所述接入回传一体化节点和所述目标宿主节点的集中式单元之间的无线资源控制连接;
响应于所述重建立请求消息,所述目标宿主节点的集中式单元向所述源宿主节点的集中式单元发送上下文请求消息,所述上下文请求消息用于请求获取所述接入回传一体化节点的上下文;
所述目标宿主节点的集中式单元接收来自所述源宿主节点的集中式单元的上下文响应消息,所述上下文响应消息包括所述接入回传一体化节点的上下文,所述上下文包括所述第二因特网协议地址。
19.根据权利要求13至18中任一项所述的方法,其特征在于,所述方法还包括:
所述目标宿主节点的集中式单元接收来自所述接入回传一体化节点的迁移完成的消息,所述迁移完成的消息用于指示所述接入回传一体化节点完成从所述源宿主节点的集中式单元向所述目标宿主节点的集中式单元迁移;
响应于所述迁移完成的消息,所述目标宿主节点的集中式单元向接入和移动性管理功能网元发送路径转换请求消息,所述路径转换请求消息包括所述接入回传一体化节点的标识信息;
所述目标宿主节点的集中式单元接收来自所述接入和移动性管理功能网元的路径转换响应消息,所述路径转换响应消息包括下一跳参数;
所述目标宿主节点的集中式单元根据所述下一跳参数推演得到所述第一根密钥。
20.根据权利要求13至18中任一项所述的方法,其特征在于,所述方法还包括:
在所述接入回传一体化节点从所述源宿主节点的集中式单元迁移到所述目标宿主节点的集中式单元之后,所述目标宿主节点的集中式单元为所述接入回传一体化节点的分布式单元生成所述第一因特网协议地址。
21.根据权利要求20所述的方法,其特征在于,所述方法还包括:
所述目标宿主节点的集中式单元,向所述接入回传一体化节点发送所述第一因特网协议地址。
22.一种通信方法,其特征在于,所述方法应用于接入回传一体化节点的集中式单元从源宿主节点迁移到目标宿主节点的集中式单元的场景下,所述方法包括:
源宿主节点的集中式单元接收来自目标宿主节点的集中式单元的第一预共享密钥;
所述源宿主节点的集中式单元根据所述第一预共享密钥对所述接入回传一体化节点进行安全验证,以建立所述源宿主节点的集中式单元与所述接入回传一体化节点之间的第一安全传输通道。
23.根据权利要求22所述的方法,其特征在于,所述所述源宿主节点的集中式单元根据所述第一预共享密钥对所述接入回传一体化节点进行安全验证,以建立所述源宿主节点的集中式单元与所述接入回传一体化节点之间的第一安全传输通道,包括:
在所述源宿主节点的集中式单元向所述目标宿主节点的集中式单元发送切换请求消息之后,或者在所述源宿主节点的集中式单元接收来自所述目标宿主节点的上下文请求消息之后,所述源宿主节点的集中式单元根据所述第一预共享密钥对所述接入回传一体化节点进行安全认证,以建立所述第一安全传输通道,所述切换请求消息用于请求将所述接入回传一体化节点从所述源宿主节点的集中式单元切换到所述目标宿主节点的集中式单元,所述上下文请求消息用于请求所述接入回传一体化节点的上下文。
24.根据权利要求22或23所述的方法,其特征在于,所述第一预共享密钥与第五预共享密钥不同,所述第五预共享密钥用于在所述接入回传一体化节点从所述源宿主节点的集中式单元迁移到所述目标宿主节点的集中式单元之前,建立所述源宿主节点的集中式单元和所述接入回传一体化节点之间的第二安全传输通道。
25.根据权利要求22至24中任一项所述的方法,其特征在于,所述方法还包括:
所述源宿主节点的集中式单元接收来自所述目标宿主节点的集中式单元的与所述第一预共享密钥对应的地址信息,所述地址信息包括所述接入回传一体化节点的第一因特网协议地址和/或所述目标宿主节点的集中式单元的第二因特网协议地址;
所述源宿主节点的集中式单元保存所述第一预共享密钥和所述地址信息的对应关系。
26.根据权利要求25所述的方法,其特征在于,所述所述源宿主节点的集中式单元根据所述第一预共享密钥对所述接入回传一体化节点进行安全验证,以建立所述源宿主节点的集中式单元与所述接入回传一体化节点之间的第一安全传输通道,包括:
所述源宿主节点的集中式单元接收来自所述接入回传一体化节点的请求消息,所述请求消息用于请求建立所述第一安全传输通道,所述请求消息包括所述地址信息;
所述源宿主节点的集中式单元根据所述地址信息,以及所述第一预共享密钥和所述地址信息的对应关系,确定所述第一预共享密钥;
所述源宿主节点的集中式单元根据所述第一预共享密钥,对所述接入回传一体化节点进行安全认证。
27.根据权利要求22至26中任一项所述的方法,其特征在于,在所述源宿主节点的集中式单元所述接收来自目标宿主节点的集中式单元的第一预共享密钥之前,所述方法还包括:
所述源宿主节点的集中式单元向所述目标宿主节点的集中式单元发送密钥请求消息,所述密钥请求消息用于请求获取所述第一预共享密钥。
28.根据权利要求22至27中任一项所述的方法,其特征在于,所述方法还包括:
所述源宿主节点的集中式单元向所述目标宿主节点的集中式单元发送所述源宿主节点的集中式单元的第二因特网协议地址,所述第二因特网协议地址用于生成所述第一预共享密钥。
29.根据权利要求28所述的方法,其特征在于,所述向所述目标宿主节点的集中式单元发送所述源宿主节点的集中式单元的第二因特网协议地址,包括:
所述源宿主节点的集中式单元向所述目标宿主节点的集中式单元发送切换请求消息,所述切换请求消息包括所述第二因特网协议地址,所述切换请求消息用于请求将所述接入回传一体化节点从所述源宿主节点的集中式单元切换到所述目标宿主节点的集中式单元,所述切换请求消息包括所述第二因特网协议地址。
30.根据权利要求28所述的方法,其特征在于,所述所述源宿主节点的集中式单元向所述目标宿主节点的集中式单元发送所述源宿主节点的集中式单元的第二因特网协议地址,包括:
所述源宿主节点的集中式单元接收来自所述目标宿主节点的上下文请求消息,所述上下文请求消息用于请求所述接入回传一体化节点的上下文;
响应于所述上下文请求消息,所述源宿主节点的集中式单元向所述目标宿主节点的集中式单元发送上下文响应消息,所述上下文响应消息包括所述接入回传一体化节点的上下文,所述上下文包括所述第二因特网协议地址。
31.一种通信装置,其特征在于,所述装置包括一个或多个功能模块,所述一个或多个功能模块:用于执行如权利要求13至21中任一项所述的方法,或者用于执行如权利要求22至30中任一项所述的方法。
32.一种通信装置,其特征在于,包括:
处理器,用于执行存储器中存储的计算机程序,以使得所述装置执行如权利要求13至21中任一项所述的方法,或者以使得所述装置执行如权利要求22至30中任一项所述的方法。
33.一种计算机程序产品,其特征在于,所述计算机程序产品包括用于执行如权利要求13至21中任一项所述的方法的指令,或者,所述计算机程序产品包括用于执行如权利要求22至30中任一项所述的方法的指令。
34.一种计算机可读存储介质,其特征在于,包括:所述计算机可读存储介质存储有计算机程序;所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求13至21中任一项所述的方法,或者使得所述计算机执行如权利要求22至30中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210968996.XA CN117641353A (zh) | 2022-08-12 | 2022-08-12 | 通信方法、装置和系统 |
PCT/CN2023/103565 WO2024032207A1 (zh) | 2022-08-12 | 2023-06-29 | 通信方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210968996.XA CN117641353A (zh) | 2022-08-12 | 2022-08-12 | 通信方法、装置和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117641353A true CN117641353A (zh) | 2024-03-01 |
Family
ID=89850652
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210968996.XA Pending CN117641353A (zh) | 2022-08-12 | 2022-08-12 | 通信方法、装置和系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN117641353A (zh) |
WO (1) | WO2024032207A1 (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020251312A1 (en) * | 2019-06-14 | 2020-12-17 | Samsung Electronics Co., Ltd. | Method of dynamically provisioning a key for authentication in relay device |
EP4018705A4 (en) * | 2019-08-26 | 2022-10-19 | Samsung Electronics Co., Ltd. | METHOD AND DEVICE FOR AUTHENTICATION OF AN INTEGRATED ACCESS AND REVERSE NODE (IAB) IN A WIRELESS NETWORK |
CN113873587B (zh) * | 2020-06-30 | 2023-09-22 | 华为技术有限公司 | 一种用于iab网络通信的方法及相关设备 |
CN116349293A (zh) * | 2020-10-21 | 2023-06-27 | 富士通株式会社 | Iab节点的移植方法及装置 |
-
2022
- 2022-08-12 CN CN202210968996.XA patent/CN117641353A/zh active Pending
-
2023
- 2023-06-29 WO PCT/CN2023/103565 patent/WO2024032207A1/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2024032207A1 (zh) | 2024-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12022333B2 (en) | Handover with zero MS user plane interruption | |
US9510387B2 (en) | Recovering connection in LTE local area network for EPS and local services | |
US9807072B2 (en) | Fast-accessing method and apparatus | |
JP2015177548A (ja) | ユーザ機器及び基地局に適用しうる接続変更方法 | |
CN111586803A (zh) | 一种通信方法及相关设备 | |
WO2020056433A2 (en) | SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo) | |
CN115299107A (zh) | 重建立的方法和通信装置 | |
CN114145073B (zh) | 通信方法和通信装置 | |
US20230276313A1 (en) | Managing sidelink communication | |
CN109314899B (zh) | 数据传输的方法和装置 | |
CN113170355A (zh) | 移动通信中的上行链路数据压缩 | |
US10455472B2 (en) | Device and method of handling data transmissions in a wireless communication system | |
CN117641353A (zh) | 通信方法、装置和系统 | |
CN112154682B (zh) | 密钥更新方法、设备和存储介质 | |
CN115484615A (zh) | 通信方法及通信装置 | |
EP4380212A1 (en) | Method for establishing secure transmission channel, method for determining key, and communication apparatus | |
US20230422106A1 (en) | Method for authenticating access layer on basis of public key infrastructure in consideration of handover in next-generation wireless communication system | |
US20240073762A1 (en) | Communication method, apparatus, and system | |
US11375375B2 (en) | Method for transmitting and receiving control message in communication system and apparatus for the same | |
EP4262149A1 (en) | Method and apparatus for authenticating user equipment in wireless communication system | |
WO2023213191A1 (zh) | 安全保护方法及通信装置 | |
WO2022226838A1 (en) | Packets re-routing | |
WO2022094976A1 (zh) | 密钥生成方法及装置 | |
CN118175541A (zh) | 通信方法及相关装置 | |
CN114793369A (zh) | 通信方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination |