WO2015139596A1

WO2015139596A1 - 密钥生成方法、主基站、辅基站及用户设备

Info

Publication number: WO2015139596A1
Application number: PCT/CN2015/074324
Authority: WO
Inventors: 甘露; 吴�荣; 何承东
Original assignee: 华为技术有限公司
Priority date: 2014-03-18
Filing date: 2015-03-16
Publication date: 2015-09-24
Also published as: EP3768039A1; CN104936173B; ES2821818T3; EP3163923A4; CN104936173A; EP3163923A1; EP3163923B1; EP3768039B1; US20170005795A1

Abstract

本发明涉及一种密钥生成方法、主基站、辅基站及用户设备。该密钥生成方法包括：确定无线数据承载DRB对应的密钥参数；向所述DRB对应的用户设备发送所述密钥参数，以使所述用户设备根据所述密钥参数及所述用户设备生成的基本密钥生成用户面密钥；接收主基站发送的所述主基站生成的基本密钥；根据所述密钥参数及所述主基站生成的基本密钥生成所述用户面密钥。

Description

密钥生成方法、主基站、辅基站及用户设备

技术领域

本发明涉及通信技术领域，尤其涉及一种密钥生成方法，主基站、辅基站及用户设备。

背景技术

随时通信技术的发展，4G通信系统得到广泛应用。在4G通信系统中，为了提高用户设备的用户面数据吞吐率，用户设备可同时连接到一个主基站(MeNB,Master eNB)和一个辅基站(SeNB,Secondary eNB)，且用户设备可同时与主基站和辅基站传输用户面数据。其中，主基站为宏基站(Marco eNB/cell)，辅基站为小基站(Small eNB/cell),小基站具体为微基站(Pico eNB/cell)或毫基站(Femto eNB/cell)。

那么考虑到用户设备与辅基站之前传输用户面数据的安全性，需要对用户设备和辅基站之间的用户面传输进行安全保护。在现有的密钥生成方法用户设备和辅基站的用户面密钥都由主基站生成并发送至用户设备和辅基站，造成主基站负荷过重，且针对同一用户设备和辅基站之间只生成一个用户面密钥，也就是说，辅基站与同一用户设备之间的所有用户面密钥相同，如果用户设备与辅基站之间的一个用户面密钥被攻破，则同一用户设备与辅基站之间的所有用户面密钥都被攻破。

由此可以看出，现有的密钥生成方法会造成主基站负荷过重，且生成的用户设备与辅基站之间的用户面密钥安全性较低。

发明内容

有鉴于此，本发明实施例提供一种密钥生成方法、主基站、辅基站及用户设备，以降低主基站负荷，提高用户设备与辅基站之间的用户面密钥的安全性。

在第一方面，本发明实施例提供一种密钥生成方法，该方法包括：

确定无线数据承载DRB对应的密钥参数；

向所述DRB对应的用户设备发送所述密钥参数，以使所述用户设备根据所述密钥参数及所述用户设备生成的基本密钥生成用户面密钥；

接收主基站发送的所述主基站生成的基本密钥；

根据所述密钥参数及所述主基站生成的基本密钥生成所述用户面密钥。

在第一方面的第一种可能实现的方式中，所述确定DRB对应的密钥参数具体为：为所述DRB分配或生成密钥参数，所述密钥参数至少包括以下参数中的一个：DRB ID、随机数、计数器值。

在第一方面的第二种可能实现的方式中，在所述确定DRB对应的密钥参数之前，所述方法还包括：接收主基站发送的DRB建立或新增请求，所述DRB建立或新增请求携带所述密钥参数；所述确定DRB对应的密钥参数具体为：从所述DRB建立或新增请求获取所述密钥参数，所述密钥参数包括：DRB ID。

结合第一方面或第一方面的第一种可能实现的方式或第一方面的第二种可能实现的方式，在第三种可能实现的方式中，所述向所述DRB对应的用户设备发送所述密钥参数具体为：通过所述主基站将所述密钥参数发送至所述用户设备。

结合第一方面或第一方面的第一种可能实现的方式或第一方面的第二种可能实现的方式或第一方面的第三种可能实现的方式，在第四种可能实现的方式中，所述用户面密钥为用户面加密密钥或用户面完整性保护密钥。

在第二方面，本发明实施例提供一种密钥生成方法，该方法包括：

确定无线数据承载DRB对应的密钥参数；

向所述辅基站发送所述密钥参数及所述主基站生成的基本密钥，以使辅基站根据所述密钥参数及主基站生成的基本密钥生成所述用户面密钥；或者，根据所述密钥参数及主基站生成的基本密钥生成所述用户面密钥，向辅基站发送所述用户面密钥。

在第二方面的第一种可能实现的方式中，所述密钥参数包括：DRB ID。

结合第二方面或第二方面的第一种可能实现的方式，在第二种可能实现的方式中，所述用户面密钥为用户面加密密钥或用户面完整性保护密钥。

在第三方面，本发明实施例提供一种辅基站，该辅基站包括：

确定单元，用于确定无线数据承载DRB对应的密钥参数；

发送单元，用于向所述DRB对应的用户设备发送所述密钥参数，以使所述用户设备根据所述密钥参数及所述用户设备生成的基本密钥生成用户面密钥；

接收单元，用于接收主基站发送的所述主基站生成的基本密钥；

生成单元，用于根据所述密钥参数及所述主基站生成的基本密钥生成所述用户面密钥。

在第三方面的第一种可能实现的方式中，所述确定单元具体用于：为所述DRB分配或生成密钥参数，所述密钥参数至少包括以下参数中的一个：DRB ID、随机数、计数器值。

在第三方面的第二种可能实现的方式中，所述接收单元还用于：接收主基站发送的DRB建立或新增请求，所述DRB建立或新增请求携带所述密钥参数；所述确定单元具体用于：从所述DRB建立或新增请求获取所述密钥参数，所述密钥参数包括：DRB ID。

在第三方面或第三方面的第一种可能实现的方式或第三方面的第二种可能实现的方式，在第三种可能实现的方式中，所述发送单元具体用于：通过所述主基站将所述密钥参数发送至所述用户设备。

在第三方面或第三方面的第一种可能实现的方式或第三方面的第二种可能实现的方式或第三方面的第三种可能实现的方式，在第四种可能实现的方式中，所述用户面密钥为用户面加密密钥或用户面完整性保护密钥。

在第四方面，本发明实施例提供一种主基站，该主基站包括：

确定单元，用于确定无线数据承载DRB对应的密钥参数；

所述发送单元还用于向所述辅基站发送所述密钥参数及所述主基站生成的基本密钥，以使辅基站根据所述密钥参数及主基站生成的基本密钥生成所述用户面密钥；或者，所述主基站还包括：生成单元，用于根据所述密钥参数及主基站生成的基本密钥生成所述用户面密钥，所述发送单元还用于向辅基站发送所述用户面密钥。

在第四方面的第一种可能实现的方式中，所述密钥参数包括：DRB ID。

结合第四方面或第四方面的第一种可能实现的方式，在第二种可能实现的方式中，所述用户面密钥为用户面加密密钥或用户面完整性保护密钥。

在第五方面，本发明实施例提供一种用户设备，该用户设备包括：

接收单元，用于接收主基站或辅基站发送的无线数据承载DRB对应的密钥参数；

生成单元，用于根据所述密钥参数及基本密钥生成用户面密钥。

在第五方面的第一种可能实现的方式中，所述密钥参数至少包括以下参数中的一个：DRB ID、随机数、计数器值。

结合第五方面或第五方面的第一种可能实现的方式，在第二种可能实现的方式中，所述用户面密钥为用户面加密密钥或用户面完整性保护密钥。

通过上述方案，用户设备与辅基站之间的用户面密钥分别由用户设备和辅基站生成，可有效降低主基站的负荷。并且，同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

附图说明

图1为本发明实施例一提供的一种密钥生成方法的流程示意图；

图2为本发明实施例一提供的一种密钥生成方法的信令图；

图3为本发明实施例二提供的一种密钥生成方法的流程示意图；

图4为本发明实施例二提供的一种密钥生成方法的信令图；

图5为本发明实施例三提供的一种密钥生成方法的流程示意图；

图6为本发明实施例三提供的一种密钥生成方法的信令图；

图7为本发明实施例四提供的一种辅基站的结构示意图；

图8为本发明实施例五提供的一种辅基站的结构示意图；

图9为本发明实施例六提供的一种主基站的结构示意图；

图10为本发明实施例七提供的一种主基站的结构示意图；

图11为本发明实施例八提供的一种主基站的结构示意图；

图12为本发明实施例九提供的一种主基站的结构示意图；

图13为本发明实施例十提供的一种用户设备的结构示意图；

图14为本发明实施例十提供的一种用户设备的结构示意图。

下面通过附图和实施例，对本发明实施例的技术方案做进一步的详细描述。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面以图1为例详细说明本发明实施例一提供的一种密钥生成方法，图1为本发明实施例一提供的一种密钥生成方法的流程示意图。该密钥生成方法的执行主体为辅基站。该辅基站为小基站,小基站具体为微基站或毫基站。

如图1所示，该密钥生成方法包括以下步骤：

步骤S101，确定数据无线承载(Data Radio Bearer，DRB)对应密钥参数。

其中，密钥参数可由辅基站分配，也可由主基站分配。其中，该主基站为宏基站。

可选地，若密钥参数由辅基站分配，则密钥参数至少包括以下参数中的一个：DRB ID、随机数、计数器值。

具体的，用户设备与主基站建立无线资源控制协议(Radio Resource Control，RRC)连接之后，辅基站会接收到主基站发送的DRB建立或新增请求，辅基站在接收到该DRB建立或新增请求后，为该用户设备分配DRB，并为该DRB分配DRB ID，且每个DRB的DRB ID都是唯一的，因此可将DRB ID作为该DRB对应的密钥参数。

辅基站中可以包括随机数生成器，当用户设备与主基站建立RRC连接之后，辅基站会接收到主基站发送的DRB建立或新增请求，辅基站在接收到该DRB建立或新增请求后，为该用户设备分配DRB，然后针对该DRB随机数生成器生成一个随机数，随机数生成器生成的每一个随机数都是唯一的，因此可将该随机数作为该DRB对应的密钥参数。

辅基站中还可以包括计数器，当用户设备与主基站建立RRC连接之后，辅基站会接收到主基站发送的DRB建立或新增请求，辅基站在接收到该DRB建立或新增请求后，为该用户设备分配DRB，然后针对该DRB计数器生成一个计数器值，计数器生成的每一个计数器值都是唯一的，因此可将该计数器值作为该DRB对应的密钥参数。

可选地，若密钥参数由主基站分配，则在步骤S101之前，还包括以下步骤：

接收主基站发送的DRB建立或新增请求，该DRB建立或新增请求携带密钥参数。

该密钥参数仅包括：DRB ID。

具体的，用户设备与主基站建立RRC连接之后，主基站为该用户设备分配DRB，且每个DRB的DRB ID都是唯一的，因此可将DRB ID作为该DRB对应的密钥参数。

相应的，步骤S101具体为：从接收到的DRB建立或新增请求获取密钥参数。

步骤S102,向DRB对应的用户设备发送该密钥参数。

可选地，辅基站可先将该密钥参数发送至主基站，再由主基站将该密钥参数转发至用户设备。

用户设备接收到辅基站发送的密钥参数后，通过使用密钥生成功能(key derivation function，KDF)将密钥参数及该用户设备生成的基本密钥(如，辅基站密钥S-KeNB)进行计算，从而生成用户面密钥。

步骤S103,接收主基站发送的该主基站生成的基本密钥。

其中，用户设备生成的基本密钥与主基站生成的基本密钥相同。

具体的，用户设备和主基站分别通过使用密钥生成功能KDF将相同的共享密钥(如，基站密钥KeNB)和相同的共享密钥参数进行计算，从而生成基本密钥。因此，用户设备生成的基本密钥与主基站生成的基本密钥相同。

步骤S104，根据密钥参数及主基站生成的基本密钥生成用户面密钥。

辅基站根据密钥参数及主基站生成的基本密钥通过与用户设备生成用户面密钥同样的方式生成用户面密钥。由于用户设备生成的基本密钥与主基站生成的基本密钥相同，且采用同样的用户面密钥生成方式，因此用户设备生成的用户面密钥与辅基站生成的用户面密钥相同。

可选地，本实施例中生成的用户面密钥可以具体为用户面加密密钥。用户设备或辅基站在发送用户面数据前，根据生成的用户面加密密钥将用户面数据加密后形成密文再发送，使得数据在发送过程中无法被破解；相应的，用户设备或辅基站在接收到用户面数据后，根据生成的用户面加密密钥将用户面数据解密，得到原始用户面数据。

可选地，本实施例中生成的用户面密钥可以具体为用户面完整性保护密钥。用户设备或辅基站在发送用户面数据前，根据生成的用户面完整性保护密钥将用户面数据进行完整性保护再发送，使得数据在发送过程中无法被篡改；相应的，用户设备或辅基站在接收到用户面数据后，根据生成的用户面完整性保护密钥将用户面数据的完整性进行校验，以确保用户面数据没有被篡改。

进一步地，图2为本发明实施例一提供的密钥生成方法的信令图。图2所示的信令图详细的展示了用户设备、主基站以及辅基站之间的交互流程，在图2中辅基站即为实施例一提供的密钥生成方法的执行主体，图2中的密钥生成方法均可按照前述实施例一描述的过程执行，在此不再复述。

通过利用本发明实施例一提供的密钥生成方法，用户设备与辅基站之间的用户面密钥分别由用户设备和辅基站生成，可有效降低主基站的负荷。并且，由于同一用户设备不同的DRB对应不同的密钥参数，因此同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

下面以图3为例详细说明本发明实施例二提供的一种密钥生成方法，图3为本发明实施例二提供的一种密钥生成方法的流程示意图。该密钥生成方法的执行主体为主基站。该主基站为宏基站。

如图2所示，该密钥生成方法包括以下步骤：

步骤S201，确定DRB对应的密钥参数。

其中，密钥参数包括：DRB ID。

具体的，用户设备与主基站建立RRC连接之后，主基站为该用户设备分配DRB，并为该DRB分配DRB ID，且每个DRB的DRB ID都是唯一的，因此可将DRB ID作为该DRB对应的密钥参数。

步骤S202，向DRB对应的用户设备发送密钥参数。

用户设备接收到辅基站发送的密钥参数后，通过使用密钥生成功KDF将密钥参数及该用户设备生成的基本密钥(如，辅基站密钥S-KeNB)进行计算，从而生成用户面密钥。

其中，该辅基站为小基站,小基站具体为微基站或毫基站。步骤S203，向辅基站发送密钥参数及主基站生成的基本密钥。

进一步地，图4为本发明实施例二提供的密钥生成方法的信令图。图4所示的信令图详细的展示了用户设备、主基站以及辅基站之间的交互流程，在图4中主基站即为实施例二提供的密钥生成方法的执行主体，图4中的密钥生成方法均可按照前述实施例二描述的过程执行，在此不再复述。

通过利用本发明实施例二提供的密钥生成方法，用户设备与辅基站之间的用户面密钥分别由用户设备和辅基站生成，可有效降低主基站的负荷。并且，由于同一用户设备不同的DRB对应不同的密钥参数，因此同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

下面以图5为例详细说明本发明实施例三提供的一种密钥生成方法，图5为本发明实施例三提供的一种密钥生成方法的流程示意图。该密钥生成方法的执行主体为主基站。该主基站为宏基站。

如图3所示，该密钥生成方法包括以下步骤：

步骤S301，确定DRB对应的密钥参数。

其中，密钥参数包括：DRB ID。

步骤S302，向DRB对应的用户设备发送密钥参数。

其中，该辅基站为小基站,小基站具体为微基站或毫基站。步骤S303，根据密钥参数及主基站生成的基本密钥生成用户面密钥。

具体的，用户设备和主基站分别通过使用密钥生成功能KDF将相同的共享密钥(如，基站密钥KeNB)和相同的共享密钥参数进行计算，从而生成基本密钥。因此，用户设备生成的基本密钥与主基站生成的基本密钥相同。主基站根据密钥参数及主基站生成的基本密钥通过与用户设备生成用户面密钥同样的方式生成用户面密钥。由于用户设备生成的基本密钥与主基站生成的S基本密钥相同，且采用同样的用户面密钥生成方式，因此用户设备生成的用户面密钥与主基站生成的用户面密钥相同。

步骤S304，向辅基站发送生成的用户面密钥。

辅基站将主基站发送的用户面密钥作为用户设备与辅基站之间的用户面密钥。

进一步地，图6为本发明实施例三提供的密钥生成方法的信令图。图6所示的信令图详细的展示了用户设备、主基站以及辅基站之间的交互流程，在图6中主基站即为实施例三提供的密钥生成方法的执行主体，图6中的密钥生成方法均可按照前述实施例三描述的过程执行，在此不再复述。

通过利用本发明实施例三提供的密钥生成方法，用户设备与辅基站之间的用户面密钥分别由用户设备和主基站生成，可有效降低主基站的负荷。并且，由于同一用户设备不同的DRB对应不同的密钥参数，因此同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

下面以图7为例详细说明本发明实施例四提供的一种辅基站，图7为本发明实施例四提供的一种辅基站的结构示意图。该辅基站为小基站,小基站具体为微基站或毫基站，，用以实现本发明实施例一提供的密钥生成方法。

如图7所示，该辅基站包括：确定单元410，发送单元420，接收单元430和生成单元440。

确定单元410用于确定DRB对应的密钥参数。

其中，密钥参数可由辅基站分配，也可由主基站分配。其中，主基站为宏基站。

具体的，用户设备与主基站建立RRC连接之后，辅基站会接收到主基站发送的DRB建立或新增请求，辅基站在接收到该DRB建立或新增请求后，为该用户设备分配DRB，确定单元410为该DRB分配DRB ID，且每个DRB的DRB ID都是唯一的，因此确定单元410将DRB ID作为该DRB对应的密钥参数。

确定单元410中可以包括随机数生成器，当用户设备与主基站建立RRC连接之后，辅基站会接收到主基站发送的DRB建立或新增请求，辅基站在接收到该DRB建立或新增请求后，为该用户设备分配DRB，然后针对该DRB随机数生成器生成一个随机数，随机数生成器生成的每一个随机数都是唯一的，因此确定单元410可将该随机数作为该DRB对应的密钥参数。

确定单元410中还可以包括计数器，当用户设备与主基站建立RRC连接之后，辅基站会接收到主基站发送的DRB建立或新增请求，辅基站在接收到该DRB建立或新增请求后，为该用户设备分配DRB，然后针对该DRB计数器生成一个计数器值，计数器生成的每一个计数器值都是唯一的，因此确定单元410可将该计数器值作为该DRB对应的密钥参数。

可选地，若密钥参数由主基站分配，则接收单元430用于接收主基站发送的DRB建立或新增请求，该DRB建立或新增请求携带密钥参数。

该密钥参数仅包括：DRB ID。

相应的，确定单元410具体用于从接收到的DRB建立或新增请求获取密钥参数。

发送单元420用于向DRB对应的用户设备发送该密钥参数。

可选地，发送单元420可先将该密钥参数发送至主基站，再由主基站将该密钥参数转发至用户设备。

接收单元430用于接收主基站发送的该主基站生成的基本密钥。

生成单元440用于根据密钥参数及主基站生成的基本密钥生成用户面密钥。

生成单元440根据密钥参数及主基站生成的基本密钥通过与用户设备生成用户面密钥同样的方式生成用户面密钥。由于用户设备生成的基本密钥与主基站生成的基本密钥相同，且采用同样的用户面密钥生成方式，因此用户设备生成的用户面密钥与生成单元440生成的用户面密钥相同。

通过利用本发明实施例四提供的辅基站，用户设备与辅基站之间的用户面密钥分别由用户设备和辅基站生成，可有效降低主基站的负荷。并且，由于同一用户设备不同的DRB对应不同的密钥参数，因此同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

在硬件实现上，以上发送单元420可以为发射机或收发机，以上接收单元430可以为接收机或收发机，且该发送单元420和接收单元430可以集成在一起构成收发单元，对应于硬件实现为收发机。以上确定单元410和生成单元440可以以硬件形式内嵌于或独立于辅基站的处理器中，也可以以软件形式存储于辅基站的存储器中，以便于处理器调用执行以上各个模块对应的操作。该处理器可以为中央处理单元(CPU)、微处理器、单片机等。

如图8所示，其为本发明实施例五所提供的一种辅基站的结构示意图。该辅基站包括发射机510、接收机520、存储器530以及分别与发射机510、接收机520和存储器530连接的处理器540。当然，辅基站还可以包括天线、基带处理部件、中射频处理部件、输入输出装置等通用部件，本发明实施例在此不再任何限制。该辅基站为小基站,小基站具体为微基站或毫基站。，用以实现本发明实施例一提供的密钥生成方法。

其中，存储器530中存储一组程序代码，且处理器540用于调用存储器530中存储的程序代码，用于执行以下操作：

确定DRB对应的密钥参数；

接收主基站发送的所述主基站生成的基本密钥；

根据所述密钥参数及所述主基站生成的基本密钥生成所述用户面密钥；

其中，所述用户设备生成的基本密钥与所述主基站生成的基本密钥相同。

进一步地，所述确定DRB对应的密钥参数具体为：

为所述DRB分配或生成密钥参数，所述密钥参数至少包括以下参数中的一个：DRB ID、随机数、计数器值。

进一步地，处理器540用于调用存储器530中存储的程序代码，还用于执行以下操作：

在所述确定DRB对应的密钥参数之前，接收主基站发送的DRB建立或新增请求，所述DRB建立或新增请求携带所述密钥参数；所述确定DRB对应的密钥参数具体为：从所述DRB建立或新增请求获取所述密钥参数，所述密钥参数包括：DRB ID。

进一步地，所述向所述DRB对应的用户设备发送所述密钥参数具体为：

通过所述主基站将所述密钥参数发送至所述用户设备。

进一步地，所述用户面密钥为用户面加密密钥或用户面完整性保护密钥。

其中，主基站为宏基站。

通过利用本发明实施例五提供的辅基站，用户设备与辅基站之间的用户面密钥分别由用户设备和辅基站生成，可有效降低主基站的负荷。并且，由于同一用户设备不同的DRB对应不同的密钥参数，因此同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

下面以图9为例详细说明本发明实施例六提供的一种主基站，图9为本发明实施例六提供的一种主基站的结构示意图。该主基站为宏基站，用以实现本发明实施例二提供的密钥生成方法。

如图9所示，该主基站包括：确定单元610，发送单元620。

确定单元610用于确定DRB对应的密钥参数。

其中，密钥参数包括：DRB ID。

具体的，用户设备与主基站建立RRC连接之后，主基站为该用户设备分配DRB，确定单元610为该DRB分配DRB ID，且每个DRB的DRB ID都是唯一的，因此确定单元610将DRB ID作为该DRB对应的密钥参数。

发送单元620用于向DRB对应的用户设备发送密钥参数。

用户设备接收到辅基站发送的密钥参数后，通过使用密钥生成KDF将密钥参数及该用户设备生成的基本密钥(如，辅基站密钥S-KeNB)进行计算，从而生成用户面密钥。

其中，该辅基站为小基站,小基站具体为微基站或毫基站。

发送单元620还用于向辅基站发送密钥参数及主基站生成的基本密钥。

可选地，本实施例中生成的用户面密钥可以具体为用户面完整性保护密钥用户设备或辅基站在发送用户面数据前，根据生成的用户面完整性保护密钥将用户面数据进行完整性保护再发送，使得数据在发送过程中无法被篡改；相应的，用户设备或辅基站在接收到用户面数据后，根据生成的用户面完整性保护密钥将用户面数据的完整性进行校验，以确保用户面数据没有被篡改。

通过利用本发明实施例六提供的主基站，用户设备与辅基站之间的用户面密钥分别由用户设备和辅基站生成，可有效降低主基站的负荷。并且，由于同一用户设备不同的DRB对应不同的密钥参数，因此同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

在硬件实现上，以上发送单元620可以为发射机或收发机，以上确定单元610可以以硬件形式内嵌于或独立于主基站的处理器中，也可以以软件形式存储于主基站的存储器中，以便于处理器调用执行以上各个模块对应的操作。该处理器可以为中央处理单元(CPU)、微处理器、单片机等。

如图10所示，其为本发明实施例七所提供的一种主基站的结构示意图。该主基站包括发射机710、存储器720以及分别与发射机710和存储器720连接的处理器730。当然，主基站还可以包括天线、基带处理部件、中射频处理部件、输入输出装置等通用部件，本发明实施例在此不再任何限制。该主基站为宏基站，用以实现本发明实施例二提供的密钥生成方法。

其中，存储器720中存储一组程序代码，且处理器730用于调用存储器720中存储的程序代码，用于执行以下操作：

确定DRB对应的密钥参数；

向所述辅基站发送所述密钥参数及所述主基站生成的基本密钥，以使辅基站根据所述密钥参数及主基站生成的基本密钥生成所述用户面密钥；

进一步地，所述密钥参数包括：DRB ID。

其中，该辅基站为小基站,小基站具体为微基站或毫基站。

通过利用本发明实施例七提供的主基站，用户设备与辅基站之间的用户面密钥分别由用户设备和辅基站生成，可有效降低主基站的负荷。并且，由于同一用户设备不同的DRB对应不同的密钥参数，因此同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

下面以图11为例详细说明本发明实施例八提供的一种主基站，图11为本发明实施例八提供的一种主基站的结构示意图。该主基站为宏基站，用以实现本发明实施例三提供的密钥生成方法。

如图11所示，该主基站包括：确定单元810，发送单元820和生成单元830。

确定单元810用于确定DRB对应的密钥参数。

其中，密钥参数包括：DRB ID。

具体的，用户设备与主基站建立RRC连接之后，主基站为该用户设备分配DRB，确定单元810为该DRB分配DRB ID，且每个DRB的DRB ID都是唯一的，因此确定单元810将DRB ID作为该DRB对应的密钥参数。

发送单元820用于向DRB对应的用户设备发送密钥参数。

其中，该辅基站为小基站,小基站具体为微基站或毫基站。

生成单元830用于根据密钥参数及主基站生成的基本密钥生成用户面密钥。

生成单元830根据密钥参数及主基站生成的基本密钥通过与用户设备生成用户面密钥同样的方式生成用户面密钥。由于用户设备生成的基本密钥与主基站生成的基本密钥相同，且采用同样的用户面密钥生成方式，因此用户设备生成的用户面密钥与生成单元830生成的用户面密钥相同。

发送单元820还用于向辅基站发送生成的用户面密钥。

可选地，本实施例中生成的用户面密钥可以具体为用户面加密密钥用户设备或辅基站在发送用户面数据前，根据生成的用户面加密密钥将用户面数据加密后形成密文再发送，使得数据在发送过程中无法被破解；相应的，用户设备或辅基站在接收到用户面数据后，根据生成的用户面加密密钥将用户面数据解密，得到原始用户面数据。

通过利用本发明实施例八提供的主基站，用户设备与辅基站之间的用户面密钥分别由用户设备和主基站生成，可有效降低主基站的负荷。并且，由于同一用户设备不同的DRB对应不同的密钥参数，因此同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

在硬件实现上，以上发送单元820可以为发射机或收发机，以上确定单元810和生成单元830可以以硬件形式内嵌于或独立于主基站的处理器中，也可以以软件形式存储于主基站的存储器中，以便于处理器调用执行以上各个模块对应的操作。该处理器可以为中央处理单元(CPU)、微处理器、单片机等。

如图12所示，其为本发明实施例九所提供的一种主基站的结构示意图。该主基站包括发射机910、存储器920以及分别与发射机910和存储器920连接的处理器930。当然，主基站还可以包括天线、基带处理部件、中射频处理部件、输入输出装置等通用部件，本发明实施例在此不再任何限制。该主基站为宏基站，用以实现本发明实施例二提供的密钥生成方法。

其中，存储器920中存储一组程序代码，且处理器930用于调用存储器920中存储的程序代码，用于执行以下操作：

确定DRB对应的密钥参数；

根据所述密钥参数及主基站生成的基本密钥生成所述用户面密钥；

向辅基站发送所述用户面密钥；

进一步地，所述密钥参数包括：DRB ID。

其中，该辅基站为小基站,小基站具体为微基站或毫基站。通过利用本发明实施例九提供的主基站，用户设备与辅基站之间的用户面密钥分别由用户设备和主基站生成，可有效降低主基站的负荷。并且，由于不同用户设备的密钥参数不同，因此辅基站与不同用户设备之间的用户面密钥不同由于同一用户设备不同的DRB对应不同的密钥参数，因此同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

下面以图13为例详细说明本发明实施例十提供的一种用户设备，图13为本发明实施例十提供的一种用户设备的结构示意图。该用户设备可以为实施例一，实施例二或实施例三中所述的用户设备。

如图13所示，该用户设备包括：接收单元1010和生成单元1020。

接收单元1010用于接收主基站或辅基站发送的DRB对应的密钥参数。

其中，主基站为宏基站，辅基站为小基站,小基站具体为微基站或毫基站。

具体的，密钥参数可由辅基站分配，也可由主基站分配。

具体的，用户设备与主基站建立RRC连接之后，辅基站会接收到主基站发送的DRB建立或新增请求，辅基站在接收到该DRB建立或新增请求后，为该用户设备分配DRB，并为该DRB分配DRB ID，且每个DRB的DRB ID都是唯一的，因此可将DRB ID作为该DRB对应的密钥参数。

辅基站分配完密钥参数后，可将密钥参数直接发送至该用户设备，也可先将密钥参数发送至主基站，由主基站转发至该用户设备。

可选地，若密钥参数由主基站分配，则密钥参数仅包括：DRB ID。

主基站分配完密钥参数后，可将密钥参数直接发送至该用户设备，也可先将密钥参数发送至辅基站，由辅基站转发至该用户设备。

生成单元1020用于根据密钥参数及基本密钥生成用户面密钥。

接收单元1010接收到密钥参数后，生成单元1020通过使用密钥生成功能KDF将密钥参数及该用户设备生成的基本密钥(如，辅基站密钥S-KeNB)进行计算，从而生成用户面密钥。

相应的，辅基站的用户面密钥有辅基站或主基站生成。辅基站或主基站该密钥参数及主基站生成的基本密钥生成用户面密钥。

并且，辅基站或主基站根据密钥参数及主基站生成的基本密钥通过与用户设备生成用户面密钥同样的方式生成用户面密钥。由于用户设备生成的基本密钥与辅基站或主基站生成的基本密钥相同，且采用同样的用户面密钥生成方式，因此用户设备生成的用户面密钥与辅基站或主基站生成的用户面密钥相同。

通过利用本发明实施例十提供的用户设备，用户设备与辅基站之间的用户面密钥分别由用户设备和辅基站生成，或分别由用户设备和主基站生成，可有效降低主基站的负荷。并且，由于同一用户设备不同的DRB对应不同的密钥参数，因此同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

在硬件实现上，以上接收单元1010可以为接收机机或收发机，以上生成单元1020可以以硬件形式内嵌于或独立于用户设备的处理器中，也可以以软件形式存储于用户设备的存储器中，以便于处理器调用执行以上各个模块对应的操作。该处理器可以为中央处理单元(CPU)、微处理器、单片机等。

如图14所示，其为本发明实施例十一所提供的一种用户设备的结构示意图。该用户设备包括接收机1110、存储器1120以及分别与接收机1110和存储器1120连接的处理器1130。当然，用户设备还可以包括天线、基带处理部件、中射频处理部件、输入输出装置等通用部件，本发明实施例在此不再任何限制。该用户设备可以为实施例一，实施例二或实施例三中所述的用户设备。

其中，存储器1120中存储一组程序代码，且处理器1130用于调用存储器1120中存储的程序代码，用于执行以下操作：

接收主基站或辅基站发送的DRB对应的密钥参数；

根据所述密钥参数及基本密钥生成用户面密钥。

进一步地，所述密钥参数至少包括以下参数中的一个：DRB ID、随机数、计数器值。

其中，主基站为宏基站，辅基站为小基站,小基站具体为微基站或毫基站。通过利用本发明实施例十一提供的用户设备，用户设备与辅基站之间的用户面密钥分别由用户设备和辅基站生成，或分别由用户设备和主基站生成，可有效降低主基站的负荷。并且，由于同一用户设备不同的DRB对应不同的密钥参数，因此同一用户设备与辅基站之间针对不同的DRB生成不同的用户面密钥，可有效提高辅基站与用户设备之间的用户面密钥的安全性。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种密钥生成方法，其特征在于，所述方法包括：

确定无线数据承载DRB对应的密钥参数；

向所述DRB对应的用户设备发送所述密钥参数，以使所述用户设备根据所述密钥参数及所述用户设备生成的基本密钥生成用户面密钥；

接收主基站发送的所述主基站生成的基本密钥；

根据所述密钥参数及所述主基站生成的基本密钥生成所述用户面密钥。
根据权利要求1所述的方法，其特征在于，所述确定DRB对应的密钥参数具体为：

为所述DRB分配或生成密钥参数，所述密钥参数至少包括以下参数中的一个：DRB ID、随机数、计数器值。
根据权利要求1所述的方法，其特征在于，在所述确定DRB对应的密钥参数之前，所述方法还包括：

接收主基站发送的DRB建立或新增请求，所述DRB建立或新增请求携带所述密钥参数；

所述确定DRB对应的密钥参数具体为：

从所述DRB建立或新增请求获取所述密钥参数，所述密钥参数包括：DRB ID。
根据权利要求1-3任一所述的方法，其特征在于，所述向所述DRB对应的用户设备发送所述密钥参数具体为：

通过所述主基站将所述密钥参数发送至所述用户设备。
根据权利要求1-4任一所述的方法，其特征在于，所述用户面密钥为用户面加密密钥或用户面完整性保护密钥。
一种密钥生成方法，其特征在于，所述方法包括：

确定无线数据承载DRB对应的密钥参数；

向所述DRB对应的用户设备发送所述密钥参数，以使所述用户设备根据所述密钥参数及所述用户设备生成的基本密钥生成用户面密钥；

向所述辅基站发送所述密钥参数及所述主基站生成的基本密钥，以使辅基站根据所述密钥参数及主基站生成的基本密钥生成所述用户面密钥；或者，根据所述密钥参数及主基站生成的基本密钥生成所述用户面密钥，向辅基站发送所述用户面密钥。
根据权利要求6所述的方法，其特征在于，所述密钥参数包括：DRB ID。
根据权利要求6或7所述的方法，其特征在于，所述用户面密钥为用户面加密密钥或用户面完整性保护密钥。
一种辅基站，其特征在于，所述辅基站包括：

确定单元，用于确定无线数据承载DRB对应的密钥参数；

发送单元，用于向所述DRB对应的用户设备发送所述密钥参数，以使所述用户设备根据所述密钥参数及所述用户设备生成的基本密钥生成用户面密钥；

接收单元，用于接收主基站发送的所述主基站生成的基本密钥；

生成单元，用于根据所述密钥参数及所述主基站生成的基本密钥生成所述用户面密钥。
根据权利要求9所述的辅基站，其特征在于，所述确定单元具体用于：

为所述DRB分配或生成密钥参数，所述密钥参数至少包括以下参数中的一个：DRB ID、随机数、计数器值。
根据权利要求9所述的辅基站，其特征在于，所述接收单元还用于：接收主基站发送的DRB建立或新增请求，所述DRB建立或新增请求携带所述密钥参数；

所述确定单元具体用于：

从所述DRB建立或新增请求获取所述密钥参数，所述密钥参数包括：DRB ID。
根据权利要求9-11任一所述的辅基站，其特征在于，所述发送单元具体用于：

通过所述主基站将所述密钥参数发送至所述用户设备。
根据权利要求9-12任一所述的辅基站，其特征在于，所述用户面密钥为用户面加密密钥或用户面完整性保护密钥。
一种主基站，其特征在于，所述主基站包括：

确定单元，用于确定无线数据承载DRB对应的密钥参数；

发送单元，用于向所述DRB对应的用户设备发送所述密钥参数，以使所述用户设备根据所述密钥参数及所述用户设备生成的基本密钥生成用户面密钥；

所述发送单元还用于向所述辅基站发送所述密钥参数及所述主基站生成的基本密钥，以使辅基站根据所述密钥参数及主基站生成的基本密钥生成所述用户面密钥；或者，所述主基站还包括：生成单元，用于根据所述密钥参数及主基站生成的基本密钥生成所述用户面密钥，所述发送单元还用于向辅基站发送所述用户面密钥。
根据权利要求14所述的主基站，其特征在于，所述密钥参数包括：DRB ID。
根据权利要求14或15所述的主基站，其特征在于，所述用户面密钥为用户面加密密钥或用户面完整性保护密钥。
一种用户设备，其特征在于，所述用户设备包括：

接收单元，用于接收主基站或辅基站发送的无线数据承载DRB对应的密钥参数；

生成单元，用于根据所述密钥参数及基本密钥生成用户面密钥。
根据权利要求17所述的用户设备，其特征在于，所述密钥参数至少包括以下参数中的一个：DRB ID、随机数、计数器值。
根据权利要求17或18所述的用户设备，其特征在于，所述用户面密钥为用户面加密密钥或用户面完整性保护密钥。