一种密钥更新方法、 装置及系统 本申请要求在 2012年 6月 15日提交中国专利局、 申请号为 201210201548.3、发明名称 为"一种密钥更新方法、 装置及系统"的中国专利申请的优先权, 其全部内容通过引用结合 在本申请中。
技术领域
本发明涉及通信技术, 尤其涉及一种密钥更新方法、 装置及系统。 背景技术
随着智能终端的快速发展, 用户对数据业务速率和容量的需求也不断增长, 传统的宏 基站(macro eNB )单层覆盖网络已经不能满足用户的需求。 因此, 第三代合作伙伴计划 ( Third Generation Partnership Project, 3GPP )通过分层组网的方式来解决该问题: 在热点 区域、 家庭室内环境、 办公环境等小覆盖环境布设一些低功率的基站 (包括 Femto/Pico/ 中继等形式), 获得小区分裂的效果, 使得运营商能够为用户提供更高数据速率、 更低成 本的业务。
而分层组网在增加网络容量的同时, 也带来了一定的负面作用: 由于低功率基站小区 的覆盖范围小, 使得用户设备 ( User Equipment, UE )在移动过程中的切换频率和次数都 大大增加, 增加了 UE在进行切换时发生通信中断的风险。
演进的通用陆地无线接入网 (Evolved Universal Terrestrial Radio Access Network, E-UTRAN )的网络架构如图 1所示, E-UTRAN由演进型基站( Evolved NodeB , eNB )组 成。 eNB完成接入网功能, 与 UE通过空中接口通信。 UE与 eNB之间既存在控制面连接 又存在用户面连接。 对于每一个附着到网络的 UE, 均有一个移动性管理实体 (Mobility Management Entity, MME ) 为其提供服务, MME与 eNB之间釆用 S1-MME接口相连。 S1-MME接口为 UE提供对控制面服务, 包括移动性管理和承载管理功能。
服务网关( Serving Gateway, S-GW )与 eNB之间釆用 S1-U接口相连, 对于每一个附 着到网络的 UE, 均有一个 S-GW为其提供服务。 S1-U接口为 UE提供用户面服务, UE 的用户面数据通过 S1-U接口承载在 S-GW和 eNB之间传输。
在如图 2所示的现有分层网络中,宏基站提供基础覆盖,低功率的小型基站( local eNB ) 提供热点覆盖, local eNB与 macro eNB之间存在数据 /信令接口(可以是有线或无线接口), UE可以工作在 macro eNB或 local eNB下。 由于 local eNB控制的小区覆盖范围小, 服务 的 UE少, 所以, 连接到 local eNB的 UE往往能获得更好的服务盾量, 如: 获得更高的业 务速率、 更高盾量的链路。 因此, 当连接到 macro eNB的 UE接近 local eNB的控制的小区 时,可以转移到 local eNB以获得 local eNB提供的服务; 当 UE远离 local eNB控制的小区
时, 需要转移到 macro eNB控制的小区, 以保持无线连接。
为了降低掉话风险, 提出了一种用户面和控制分离的网络架构, 该网络架构包含 local eNB和 macro eNB的分层网络部署场景。
图 2所示网络架构即可实现用户面和控制面分离。 在该方式下, 当 UE在只有 macro eNB小区覆盖的区域, UE的控制面连接和用户面连接都在 macro eNB;当 UE移动到 macro eNB小区和 local eNB小区重叠覆盖区域时, UE用户面承载(全部或部分 )连接被转移到 local eNB, 以获得更高的业务传输速率; 控制面连接仍然保持在 macro eNB, 以防止控制 面连接切换失败造成 UE掉话。
在 UE用户面和控制面分离的情况下, UE同时连接到两个 e B。
用户面和控制面分离情况下, UE与网络之间的协议栈如图 3和图 4所示。 UE的用户 面 eNB (如 local eNB, 当 UE用户面的部分承载在 local eNB时, macro eNB也具备用户 面协议栈)为 UE提供用户面数据传输功能,其与 UE之间没有对等的无线资源控制( Radio Resource Control, RRC )层,不能对 UE进行 RRC控制; UE的控制面 eNB (如 macro eNB ) 为 UE提供控制面消息传输功能, 为了实现对 RRC消息的承载和处理, 其需要具备与 UE 对等的用户面协议栈。 由于非接入层(Non-Access Stratum, NAS ) 消息需要由 RRC消息 承载, 所以, UE的服务 MME与 UE的控制面 eNB相连。
在现有协议中, RRC连接由 3条信令无线承载( Signal Radio Bearer, SRB )组成: SRBO, SRBl和 SRB2,其中 SRBO无需经过分组数据汇聚协议( Packet Data Convergence Protocol, PDCP )层处理。在用户面, UE和 eNB之间可以建立多个数据无线承载( Data Radio Bearer, DRB )。 PDCP实体与 DRB/SRB1/SRB2对应, 每一条 DRB和 SRBl、 SRB2都分别对应一 套 PDCP实体。 因此, UE会同时有多套 PDCP实体。
UE和 eNB之间的空中接口安全保护在 PDCP层实现。 PDCP层对 RRC消息进行加密 和完整性保护, 对 DRB上传输的用户数据包进行加密保护。 UE和 eNB之间利用 RRC消 息协商空中接口安全算法, 并计算出空中接口使用的密钥, 然后配置到分组数据汇聚协议 ( Packet Data Convergence Protocol, PDCP )层使用。
PDCP层对发送的每个数据包都分配一个序列号,记做计数( COUNT M直。 UE和 eNB 对每个 PDCP实体分别维护一个上行 COUNT值和一个下行 COUNT值。 COUNT值随着 发送的数据包逐渐增加, 达到最大值后从零开始继续使用。
在进行安全保护的时候, PDCP层的 COUNT值是输入参数之一, 每个 COUNT值最 多使用一次。 引入 COUNT值保证了每一个数据包都是釆用不同的安全参数进行加密或完 整性保护, 从而降低了攻击者破解信息内容的可能。 当 COUNT值达到最大值之前, eNB 会与 UE之间通过切换进行密钥更换。 目前 COUNT值长度为 32bit。
对于 local eNB上只有用户面功能的架构, local eNB无法更新空中接口使用的密钥,
密钥的更新由 macro e B执行。 macro e B不能掌握 local eNB上 PDCP层 COUNT值的实 时信息, local eNB也不能掌握 macro eNB上 SRB或部分 DRB (如果有 )对应的 PDCP COUNT值信息。
由于通常由 macro eNB进行密钥更新过程, 当某个 UE的某个 PDCP COUNT值达到 设定值时, 发起密钥更新流程, 更新密钥。 但是, 由于 macro eNB不能获知 local eNB上 PDCP层 COUNT值的实时信息, 所以可能出现 local eNB上某个 DRB的 PDCP COUNT 值已经翻转一圏,但 UE与 local eNB之间仍然使用原来的用户面密钥,导致同一套安全参 数使用了两次,从而使攻击者增加了破解 UE通信信息的可能性, 降低了网络的安全性能。 发明内容
本发明实施例提供一种密钥更新方法、 装置及系统, 以提高网络的安全性能。
本发明实施例提供的一种密钥更新方法, 包括:
小型基站监视与其连接的每个用户设备 UE的各用户面上下行分组数据汇聚协议计数 PDCP COUNT值;
小型基站根据用户面上下行 PDCP COUNT值向宏基站发送密钥更新请求, 或者向宏 基站发送用户面上下行 PDCP COUNT值信息, 使所述宏基站根据所述密钥更新请求或用 户面上下行 PDCP COUNT值信息进行密钥更新。
本发明实施例提供的一种密钥更新方法, 包括:
宏基站接收所述小型基站根据用户面上下行分组数据汇聚协议计数 PDCP COUNT值 向宏基站发送的密钥更新请求, 或者向宏基站发送的用户面上下行 PDCP COUNT值信息; 所述宏基站根据所述密钥更新请求或用户面上下行 PDCP COUNT值信息进行密钥更 新。
本发明实施例提供的一种密钥更新装置, 包括:
监视单元, 用于监视与其连接的每个 UE 的各用户面上下行分组数据汇聚协议计数 PDCP COUNT值;
发送单元, 用于根据用户面上下行 PDCP COUNT值向宏基站发送密钥更新请求, 或 者向宏基站发送用户面上下行 PDCP COUNT值信息, 使所述宏基站根据所述密钥更新请 求或用户面上下行 PDCP COUNT值信息进行密钥更新。
本发明实施例提供的一种密钥更新装置, 包括:
接收单元, 用于接收所述小型基站根据用户面上下行分组数据汇聚协议计数 PDCP
COUNT 值向宏基站发送的密钥更新请求, 或者向宏基站发送的用户面上下行 PDCP COUNT值信息;
更新单元, 用于根据所述密钥更新请求或用户面上下行 PDCP COUNT值信息进行密
钥更新。
本发明实施例提供的一种密钥更新系统, 包括: 小型基站和宏基站, 其中: 小型基站,用于监视与其连接的每个 UE的用户面上下行分组数据汇聚协议计数 PDCP COUNT值; 根据用户面上下行 PDCP COUNT值向宏基站发送密钥更新请求, 或者向宏基 站发送用户面上下行 PDCP COUNT值信息;
宏基站, 用于接收所述小型基站根据用户面上下行 PDCP COUNT值向宏基站发送的 密钥更新请求, 或者向宏基站发送的用户面上下行 PDCP COUNT值信息; 根据所述密钥 更新请求或用户面上下行 PDCP COUNT值信息进行密钥更新。
本发明实施例提供一种密钥更新方法、 装置及系统, 通过小型基站监视与其连接的每 个 UE的用户面上下行 PDCP COUNT值, 并向宏基站发送用户面上下行 PDCP COUNT值 信息或者根据该 PDCP COUNT值发送的密钥更新请求, 使宏基站根据密钥更新请求或用 户面上下行 PDCP COUNT值信息进行密钥更新, 从而避免了重复使用安全参数的问题, 实现了及时更新密钥, 提高了网络的安全性能。 附图说明
图 1为现有技术中的演进的通用陆地无线接入网网络架构示意图;
图 2为现有技术中分层网络部署场景示意图;
图 3为现有技术中用户平面协议栈示意图;
图 4为现有技术中控制平面协议栈示意图;
图 5为本发明实施例提供的密钥更新方法流程图之一;
图 6为本发明实施例提供的对应实施例一的密钥更新方法流程图;
图 7为本发明实施例提供的对应实施例一的消息发送示意图;
图 8为本发明实施例提供的对应实施例二的密钥更新方法流程图;
图 9为本发明实施例提供的对应实施例二的消息发送示意图;
图 10为本发明实施例提供的密钥更新方法流程图之二;
图 11为本发明实施例提供的密钥更新装置结构示意图之一;
图 12为本发明实施例提供的密钥更新装置结构示意图之二;
图 13为本发明实施例提供的密钥更新系统结构示意图。 具体实施方式
本发明实施例提供一种密钥更新方法、 装置及系统, 通过小型基站监视与其连接的每 个 UE的用户面上下行 PDCP COUNT值, 并向宏基站发送用户面上下行 PDCP COUNT值 信息或者根据该 PDCP COUNT值发送的密钥更新请求, 使宏基站根据密钥更新请求或用
户面上下行 PDCP COUNT值信息进行密钥更新, 从而避免了重复使用安全参数的问题, 实现了及时更新密钥, 提高了网络的安全性能。
如图 5所示, 本发明实施例提供的密钥更新方法包括:
步骤 S501、 小型基站监视与其连接的每个 UE的各用户面上下行 PDCP COUNT值; 步骤 S502、小型基站根据用户面上下行 PDCP COUNT值向宏基站发送密钥更新请求, 或者向宏基站发送用户面上下行 PDCP COUNT值信息, 使宏基站根据密钥更新请求或用 户面上下行 PDCP COUNT值信息进行密钥更新。
其中, 在步骤 S502中, 小型基站根据用户面上下行 PDCP COUNT值向宏基站发送密 钥更新请求, 或者向宏基站发送用户面上下行 PDCP COUNT值信息, 使宏基站根据密钥 更新请求或用户面上下行 PDCP COUNT值信息进行密钥更新, 具体包括如下两种具体实 施方式:
第一种是小型基站确定有用户面上下行 PDCP COUNT值达到设定值时, 向宏基站发 送密钥更新请求, 密钥更新请求中包括需要更新密钥的 UE的标识信息; 此时宏基站接收 到密钥更新请求后, 根据标识信息为该 UE更新密钥;
第二种是小型基站根据设定的上报条件,将每个 UE的各用户面上下行 PDCP COUNT 值发送给宏基站;此时,对于每个 UE,宏基站在确定该 UE的各用户面上下行 PDCP COUNT 值和各控制面上下行 PDCP COUNT值中, 有一个 PDCP COUNT值达到设定值, 则为该 UE更新密钥。
其中, 设定的上报条件具体为:
各用户面上下行 PDCP COUNT值中,有至少一个用户面上下行 PDCP COUNT值的变 化量达到设定阈值; 或者
距离上次上报达到设定的时间。
具体的, 宏基站为该 UE更新密钥的过程, 具体包括:
宏基站发起小区内切换过程, 宏基站与该 UE 计算出无线资源控制 (Radio Resource Control, RRC ) 消息和用户面数据使用的新密钥;
宏基站向小型基站返回密钥更新响应消息, 密钥更新响应消息中携带新密钥。
为了进一步确保数据的正确解密, 在更新密钥的过程中, 可以尽量避免数据的发送, 此时, 该方法还包括:
UE在更新密钥后的设定时间内不发送上行数据, 且使用新密钥和旧密钥解密接收到 的下行数据; 或者
小型基站向宏基站发送密钥更新请求后, 在设定时间内不向 UE发送下行数据且不调 度 UE发送上行数据; 或者
宏基站在根据该 UE 的各用户面上下行 PDCP COUNT值和各控制面上下行 PDCP
COUNT值确定为该 UE更新密钥后, 向小型基站发送通知消息, 小型基站在接收到通知 消息后的设定时间内, 不向 UE发送下行数据且不调度 UE发送上行数据。
下面通过具体的实施例说明本发明实施例提供的密钥更新方法:
实施例一、
在该实施例中, 由小型基站根据 UE的各用户面上下行 PDCP COUNT值触发密钥更 新。
如图 6所示, 该方法包括:
步骤 S601、 local e B 监视与其连接每个 UE 的每个 DRB 的用户面上下行 PDCP COUNT值;
步骤 S602、当某个 UE的某个用户面上下行 PDCP COUNT达到一定值时,向 macro eNB 发送密钥更新请求, 该消息中携带该 UE标识, 使 macro eNB能够区分是为哪个 UE更新 密钥;
该消息中携带的 UE标识, 可以是 C-RNTI, 也可以是接口应用层标识, 具体的, 该标 识可以在 macro eNB之前向 local eNB配置 UE的 DRB时发给 local eNB, 比如 C-RNTI, 也可以是在 macro eNB向 local eNB配置 UE的 DRB时,为 UE分配的接口应用层标识(比 如 X2AP ID或是 S1AP ID )。
由于 local eNB收到新密钥有一定时延, 因此为了保证 local eNB和 UE之间解密不出 现问题, UE可以在更新密钥后一定时间内, 不发送上行数据, 对于从 local eNB收到的下 行数据, 使用新旧密钥分别解密; 或是 local eNB向 macro eNB发送密钥更新请求之后直 到收到新的密钥这段时间内, local eNB不调度 UE发送上行数据,也不向 UE发下行数据。 当然, 本发明实施例不限制使用其他方法保证收发两侧正确解密。
步骤 S603、 macro eNB收到密钥更新请求后, 与指定的 UE进行密钥更新更新过程, 比如发起小区内切换过程, macro eNB与 UE计算出 RRC消息和用户面数据使用的新密钥; 步骤 S604、 macro eNB向 local eNB返回密钥更新命令消息, 携带该新计算出的用户 面数据使用的密钥;
步骤 S605、 local eNB收到新的用户面密钥后, 与 UE之间使用该新密钥对用户面数据 进行保护, 并向 macro eNB返回确认消息。
其中, 宏基站和小型基站之间的发送消息可以釆用如图 7 所示的消息, 小型基站向 macro eNB发送密钥更新请求(Key Update Request ), 宏基站确定新密钥后, 向小型基站 发送密钥更新命令消息 ( Key Update Command ), 消息基站向宏基站返回密钥更新确认消 息 ( Key Update Acknowledge )。
实施例二、
在该实施例中, 由小型基站向宏基站条件性发送各 UE 的各用户面上下行 PDCP
COUNT值。
如图 8所示, 该方法包括:
步骤 S801、 local e B 监视与其连接每个 UE 的每个 DRB 的用户面上下行 PDCP COUNT值, 并条件性地将 UE的每个 DRB的用户面上下行 PDCP COUNT值发给 macro eNB , 比如可以通过序列号 4艮告消息 ( SN Report消息)发送该 PDCP COUNT值。 该消息 中携带该 UE标识。
条件性指用户面上下行 PDCP COUNT值每增加一定数量则通知一次, 或是每经过一 定时间通知一次。
步骤 S802、 macro eNB根据收到的 UE的用户面上下行 PDCP COUNT值, 决定是否 发起密钥更新过程或何时发起密钥更新过程。 当确定需要更新空中接口密钥时, 与指定的 UE进行密钥更新更新过程, 比如发起小区内切换过程, macro eNB与 UE计算出 RRC消 息和用户面数据使用的密钥。
由于 local eNB收到新密钥有一定时延, 因此为了保证 local eNB和 UE之间解密不出 现问题, UE可以在更新密钥后一定时间内, 不发送上行数据, 对于从 local eNB收到的下 行数据, 使用新旧密钥分别解密; 或者 macro eNB决定与 UE更新密钥之后, 先通知 local e B。 local eNB在收到通知之后直到收到新密钥之前, 可以不调度 UE发送上行数据, 也 不发下行数据。 当然, 本发明实施例不限制使用其他方法保证收发两侧正确解密。
步骤 S803、 macro eNB向 local eNB返回密钥更新命令消息, 携带该新计算出的用户 面数据使用的密钥;
步骤 S804、 local eNB收到新的用户面密钥后, 与 UE之间使用该新密钥对用户面数据 进行保护, 并向 macro eNB返回确认消息。
其中, 宏基站和小型基站之间的发送消息可以釆用如图 9所示的消息, 小型基站通过 SN Report向 macro eNB发送各 UE的各用户面上下行 PDCP COUNT值, 宏基站确定新密 钥后, 向小型基站发送密钥更新命令消息 ( Key Update Command ), 消息基站向宏基站返 回密钥更新确认消息 ( Key Update Acknowledge )。
在本发明实施例中, 控制面基站和用户面基站分别监视 UE的控制面 PDCP COUNT 值和用户面上下行 PDCP COUNT值, 当任何一个 COUNT值达到设定值时, 均可实现更 新空中接口密钥, 实现了密钥的及时更新。
本发明实施例还提供一种密钥更新方法, 如图 10所示, 包括:
步骤 S1001、宏基站接收小型基站根据用户面上下行 PDCP COUNT值向宏基站发送的 密钥更新请求, 或者向宏基站发送的用户面上下行 PDCP COUNT值信息;
步骤 S1002、宏基站根据密钥更新请求或用户面上下行 PDCP COUNT值信息进行密钥 更新。
对应于实施例一, 在步骤 S 1001 中, 宏基站接收小型基站根据用户面上下行 PDCP COUNT值向宏基站发送的密钥更新请求, 具体包括:
宏基站接收小型基站确定有 PDCP COUNT值达到设定值时, 向宏基站发送的密钥更 新请求, 密钥更新请求中包括需要更新密钥的 UE的标识信息;
此时, 在步骤 S 1002中, 宏基站根据密钥更新请求进行密钥更新, 具体包括: 宏基站接收到密钥更新请求后, 根据标识信息为该 UE更新密钥。
对应于实施例二, 在步骤 S 1001 中, 宏基站接收小型基站发送的用户面上下行 PDCP COUNT值信息, 具体包括:
宏基站接收小型基站根据设定的上报条件, 发送的每个 UE的各用户面上下行 PDCP COUNT值;
此时, 在步骤 S 1002中, 宏基站根据该用户面上下行 PDCP COUNT值信息进行密钥 更新, 具体包括:
对于每个 UE, 宏基站在确定该 UE的各用户面上下行 PDCP COUNT值和各控制面上 下行 PDCP COUNT值中, 有一个 PDCP COUNT值达到设定值, 则为该 UE更新密钥。
其中, 设定的上报条件具体为:
各 PDCP COUNT值中, 有至少一个 PDCP COUNT值的变化量达到设定阈值; 或者 距离上次上报达到设定的时间。
具体的, 宏基站为该 UE更新密钥, 具体包括:
宏基站发起小区内切换过程,宏基站与该 UE计算出 RRC消息和用户面数据使用的新 密钥;
宏基站向小型基站返回密钥更新响应消息, 密钥更新响应消息中携带新密钥。
对应于实施例一, 为确保数据的正确解密, UE在更新密钥后的设定时间内不发送上 行数据, 且使用新密钥和旧密钥解密接收到的下行数据; 或者小型基站向宏基站发送密钥 对应于实施例二, 为确保数据的正确解密, UE在更新密钥后的设定时间内不发送上 行数据, 且使用新密钥和旧密钥解密接收到的下行数据; 或者宏基站在确定为该 UE更新 密钥后, 向小型基站发送通知消息, 小型基站在接收到通知消息后的设定时间内, 不向 UE 发送下行数据且不调度 UE发送上行数据。
本发明实施例提供一种密钥更新装置, 该装置可以具体为小型基站, 如图 11所示, 该 装置包括:
监视单元 1101 , 用于监视与其连接的每个 UE的各用户面上下行 PDCP COUNT值; 发送单元 1102 ,用于根据用户面上下行 PDCP COUNT值向宏基站发送密钥更新请求, 或者向宏基站发送用户面上下行 PDCP COUNT值信息, 使宏基站根据密钥更新请求或用
户面上下行 PDCP COUNT值信息进行密钥更新。
对应于实施例一, 发送单元 1102具体用于:
确定有 PDCP COUNT值达到设定值时, 向宏基站发送密钥更新请求, 密钥更新请求 中包括需要更新密钥的 UE的标识信息, 使得宏基站接收到密钥更新请求后, 根据标识信 息为该 UE更新密钥。
对应于实施例二, 发送单元 1102具体用于:
根据设定的上报条件, 将每个 UE的各用户面上下行 PDCP COUNT值发送给宏基站; 使得对于每个 UE, 宏基站在确定该 UE的各用户面上下行 PDCP COUNT值和各控制面上 下行 PDCP COUNT值中, 有一个 PDCP COUNT值达到设定值, 则为该 UE更新密钥。
对应于实施例一, 发送单元 1102还用于:
向宏基站发送密钥更新请求后, 在设定时间内不向 UE发送下行数据且不调度 UE发 送上行数据。
对应于实施例二, 发送单元 1102还用于:
接收宏基站在确定为该 UE更新密钥后, 向小型基站发送的通知消息, 在接收到通知 消息后的设定时间内, 不向 UE发送下行数据且不调度 UE发送上行数据。
本发明实施例还提供一种密钥更新装置, 该装置可以具体为宏基站, 如图 12 所示, 该装置包括:
接收单元 1201 , 用于接收小型基站根据用户面上下行 PDCP COUNT值向宏基站发送 的密钥更新请求, 或者向宏基站发送的用户面上下行 PDCP COUNT值信息;
更新单元 1202, 用于根据密钥更新请求或用户面上下行 PDCP COUNT值信息进行密 钥更新。
对应于实施例一, 接收单元 1201具体用于:
接收小型基站确定有 PDCP COUNT值达到设定值时, 向宏基站发送的密钥更新请求, 密钥更新请求中包括需要更新密钥的 UE的标识信息;
此时, 更新单元 1202具体用于:
接收到密钥更新请求后, 根据标识信息为该 UE更新密钥。
对应于实施例二, 接收单元 1201具体用于:
宏基站接收小型基站根据设定的上报条件, 发送的每个 UE的各用户面上下行 PDCP COUNT值;
此时, 更新单元 1202具体用于:
对于每个 UE, 宏基站在确定该 UE的各用户面上下行 PDCP COUNT值和各控制面上 下行 PDCP COUNT值中, 有一个 PDCP COUNT值达到设定值, 则为该 UE更新密钥。
更新单元 1202为该 UE更新密钥, 具体包括:
发起小区内切换过程, 宏基站与该 UE计算出 RRC消息和用户面数据使用的新密钥; 向小型基站返回密钥更新响应消息, 密钥更新响应消息中携带新密钥。
对应于实施例一, 更新单元 1202还用于:
在确定为该 UE更新密钥后, 向小型基站发送通知消息, 小型基站在接收到通知消息 后的设定时间内, 不向 UE发送下行数据且不调度 UE发送上行数据。
本发明实施例还相应提供一种密钥更新系统, 如图 13所示, 包括: 小型基站 1301和 宏基站 1302 , 其中:
小型基站 1301 , 用于监视与其连接的每个 UE的用户面上下行 PDCP COUNT值; 根 据用户面上下行 PDCP COUNT值启动向宏基站 1302发送密钥更新请求, 或者向宏基站 1302发送用户面上下行 PDCP COUNT值信息;
宏基站 1302 ,用于接收小型基站 1301根据用户面上下行 PDCP COUNT值向宏基站发 送的密钥更新请求, 或者向宏基站发送的用户面上下行 PDCP COUNT值信息; 根据密钥 更新请求或用户面上下行 PDCP COUNT值信息进行密钥更新。
本发明实施例提供一种密钥更新方法、 装置及系统, 通过小型基站监视与其连接的每 个 UE的用户面上下行 PDCP COUNT值, 并向宏基站发送用户面上下行 PDCP COUNT值 信息或者根据该 PDCP COUNT值发送的密钥更新请求, 使宏基站根据密钥更新请求或用 户面上下行 PDCP COUNT值信息进行密钥更新, 从而避免了重复使用安全参数的问题, 实现了及时更新密钥, 提高了网络的安全性能。
本领域内的技术人员应明白, 本发明的实施例可提供为方法、 系统、 或计算机程序产 品。 因此, 本发明可釆用完全硬件实施例、 完全软件实施例、 或结合软件和硬件方面的实 施例的形式。 而且, 本发明可釆用在一个或多个其中包含有计算机可用程序代码的计算机 可用存储介盾 (包括但不限于磁盘存储器、 CD-ROM、 光学存储器等)上实施的计算机程 序产品的形式。
本发明是参照根据本发明实施例的方法、 设备(系统)、 和计算机程序产品的流程图 和 /或方框图来描述的。 应理解可由计算机程序指令实现流程图和 /或方框图中的每一流 程和 /或方框、 以及流程图和 /或方框图中的流程和 /或方框的结合。 可提供这些计算机 程序指令到通用计算机、 专用计算机、 嵌入式处理机或其他可编程数据处理设备的处理器 以产生一个机器, 使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用 于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的 装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方 式工作的计算机可读存储器中, 使得存储在该计算机可读存储器中的指令产生包括指令装 置的制造品, 该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个
方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上, 使得在计算机 或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理, 从而在计算机或其他 可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个 方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例, 但本领域内的技术人员一旦得知了基本创造性概 念, 则可对这些实施例作出另外的变更和修改。 所以, 所附权利要求意欲解释为包括优选 实施例以及落入本发明范围的所有变更和修改。
显然, 本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和 范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内, 则本发明也意图包含这些改动和变型在内。