CN102065420A - 一种确定密钥的方法、***和装置 - Google Patents
一种确定密钥的方法、***和装置 Download PDFInfo
- Publication number
- CN102065420A CN102065420A CN200910237197XA CN200910237197A CN102065420A CN 102065420 A CN102065420 A CN 102065420A CN 200910237197X A CN200910237197X A CN 200910237197XA CN 200910237197 A CN200910237197 A CN 200910237197A CN 102065420 A CN102065420 A CN 102065420A
- Authority
- CN
- China
- Prior art keywords
- key
- key parameter
- equipment
- user terminal
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例涉及无线通信技术,特别涉及一种确定密钥的方法、***和装置,用以增加密钥数量,从而在LTE-A***中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高Un口的安全性。本发明实施例提供的方法包括:基站在用户终端需要切换到的目标中继节点RN设备与自身连接时,向目标RN设备发送切换请求消息;基站根据AS密钥参数为用户终端生成一对AS密钥,以及目标RN设备在收到切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥。采用本发明实施例的方法能够根据接入的用户终端,为每个用户终端分别配置一对不同的密钥,从而提高了Un口的安全性。
Description
技术领域
本发明涉及无线通信技术,特别涉及一种确定密钥的方法、***和装置。
背景技术
LTE-A(Long Term Evolution-Advanced,长期演进升级)***引入RN(中继节点)设备后的网络架构,如图1所示,
RN设备通过DeNB(基站)接入到核心网,RN设备和核心网没有直接的无线接口,每个RN设备可以控制一个或多个小区。在此架构下,UE(用户终端)和RN设备的接口称为Uu接口,RN设备和DeNB之间的接口称为Un接口。
在图1的网络架构中,RN具有双重身份:
首先RN设备具有UE的身份,即RN启动时类似于UE的开机附着过程。RN设备具有自己的SGW/PGW(Serving Gateway/PDN Gateway,服务网关/分组数据网关)和控制节点MME(Mobility Management Entity,移动性管理实体)。外部节点发向RN设备的数据包都要经过RN设备的SGW/PGW,然后RN设备的SGW/PGW发给RN设备当前的服务基站DeNB,然后DeNB在Un口上发给RN设备。
其次,对于接入RN设备的UE来说,RN设备具有eNB的身份,此时UE的下行数据需要从UE的SGW/PGW发送给UE的服务基站,即RN设备,然后RN设备在Uu口上发给UE。
RN设备启动过程分为两个主要过程:
1、RN设备使用现有的UE附着过程来附着到网络,核心网对RN设备进行认证,建立基本的连接,并生成NAS(Non-Access Stratum,非接入层)和AS(Access Stratum,接入层)密钥。
2、O&M(Operation and Maintenance,操作维护)设备像认证eNB一样对RN设备进行认证,并下载配置数据到RN设备,随后RN设备建立必要的S1接口和X2接口,就可以正常工作了。
目前,3GPP组织对于RN的架构有4种候选方案,在候选架构4中,RNRadio Bearer(无线承载)是由DeNB来控制的,EPC(Evolved Packet Core,演进的分组核心网)并不知道RN无线承载。所以,虽然UE EPS承载和UE DRB(Data Radio Bearer,数据无线承载)是有固定对应映射关系的,但是UE EPS承载和RN无线承载并没有固定的映射关系,需要DeNB建立一个映射表,RN设备和DeNB内保存的映射关系一致。RN收到DeNB发来的数据包后,再还原为UE EPS承载和UE数据无线承载的对应关系。
DeNB将用户EPS承载一一映射为Un接口上的RN无线承载。当有大量UE同时接入RN设备时,Un接口上将建立大量与UE EPS承载对应的RN无线承载。但是RN设备启动时,功能类似于UE,即与DeNB之间共享了一对AS密钥(包括加密密钥和完整性保护密钥),用于保护Un接口上的数据和信令安全。RN无线承载标识(Bearer ID)是Un接口上加密和完整性保护的输入参数之一,发送方根据Bearer ID等参数和AS密钥生成密文,接收方根据Bearer ID等参数和AS密钥对密文进行处理。由于在使用同一密钥的不同承载上不能使用相同的承载标识,这就限制了Un接口上只使用一对AS密钥时允许接入UE的数量。而目前RN Bearer ID只能表示少量的值,当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,很可能造成RNBearer ID不够使用,从而降低了Un口的安全性。
综上所述,目前LTE-A***中,当有大量UE接入候选架构4的RN设备、需要建立多个RN无线承载时,很可能造成RN Bearer ID数量不够使用,从而降低了Un口的安全性。
发明内容
本发明实施例提供一种确定密钥的方法、***和装置,用以增加密钥数量,从而在LTE-A***中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高Un口的安全性。
本发明实施例提供的一种确定密钥的方法,该方法包括:
基站在用户终端需要切换到的目标中继节点RN设备与自身连接时,向所述目标RN设备发送切换请求消息;
所述基站根据AS密钥参数为所述用户终端生成一对AS密钥,以及所述目标RN设备在收到所述切换请求消息后,根据AS密钥参数为所述用户终端生成一对AS密钥;
其中,所述基站和所述目标RN设备使用的AS密钥参数相同。
本发明实施例提供的一种确定密钥的***,该***包括:
基站,用于在用户终端需要切换到的目标中继节点RN设备与自身连接时,向所述目标RN设备发送切换请求消息,根据AS密钥参数为所述用户终端生成一对AS密钥;
目标RN设备,用于在收到所述切换请求消息后,根据AS密钥参数为所述用户终端生成一对AS密钥;
其中,所述基站和所述目标RN设备使用的AS密钥参数相同。
本发明实施例提供的一种基站,该基站包括:
消息发送模块,用于在用户终端需要切换到的目标中继节点RN设备与自身连接时,向所述目标RN设备发送切换请求消息;
第一密钥生成模块,用于根据AS密钥参数为所述用户终端生成一对AS密钥;
其中,所述基站和所述目标RN设备使用的AS密钥参数相同。
本发明实施例提供的一种中继节点RN设备,该RN设备包括:
接收模块,用于接收来自基站的切换请求消息,其中所述切换请求消息是基站在用户终端需要切换到的目标RN设备与自身连接时发送的;
第二密钥生成模块,用于在所述接收模块收到所述切换请求消息后,根据AS密钥参数为所述用户终端生成一对AS密钥。
本发明实施例基站在用户终端需要切换到的目标RN设备与自身连接时,向目标RN设备发送切换请求消息,根据AS密钥参数为用户终端生成一对AS密钥,以及目标RN设备在收到切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥;其中基站和目标RN设备使用的AS密钥参数相同。由于能够根据接入的用户终端,为每个用户终端分别配置一对不同的密钥,从而在LTE-A***中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
附图说明
图1为本发明实施例确定密钥的***结构示意图;
图2为本发明实施例基站结构示意图;
图3为本发明实施例RN设备结构示意图;
图4为本发明实施例确定密钥的方法流程示意图;
图5为本发明实施例第一种用户终端切换的方法流程示意图;
图6为本发明实施例第二种用户终端切换的方法流程示意图;
图7为本发明实施例第三种用户终端切换的方法流程示意图;
图8为本发明实施例第四种用户终端切换的方法流程示意图;
图9为本发明实施例第五种用户终端切换的方法流程示意图。
具体实施方式
本发明实施例基站在用户终端需要切换到的目标RN设备与自身连接时,向目标RN设备发送切换请求消息,根据AS(Access Stratum,接入层)密钥参数为用户终端生成一对AS密钥,以及目标RN设备在收到切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥;其中,基站和目标RN设备使用的AS密钥参数相同。
由于能够根据接入的用户终端,为每个用户终端分别配置一对不同的密钥,从而在LTE-A***中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
需要说明的是,本发明实施例并不局限于LTE-A***,其他含有RN设备的***同样适用本发明实施例。
下面结合说明书附图对本发明实施例作进一步详细描述。
如图1所示,本发明实施例确定密钥的***包括:基站10和目标RN设备20。
基站10,用于在用户终端需要切换到的目标中继节点RN设备与自身连接时,向目标RN设备发送切换请求消息,根据AS密钥参数为用户终端生成一对AS密钥;
目标RN设备20,用于在收到来自基站10的切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥;
其中,基站和目标RN设备使用的AS密钥参数相同。
其中,在目标RN设备20启动时,服务RN设备的MME(Mobility Management Entity,移动性管理实体)会生成一个KeNB(即加密参数),然后将KeNB发送给基站,而RN设备也会生成一个同样的KeNB。
在具体实施过程中,MME利用Kasme(一个密钥记号,类似KeNB)和NAS COUNT(非接入层计数器值)=0生成KeNB,RN设备由于有和MME一样的Kasme以及NAS COUNT=0,所以可以计算出与MME一样的KeNB。
目标RN设备20作为UE启动时,在目标RN设备、基站、(服务RN的)MME、HSS(Home Subscriber Server,归属用户服务器)之间完成一次认证,目标RN设备和基站之间共享一个KeNB,目标RN设备和DeNB之间协商出一个加密算法和完整性算法。
其中,加密算法包括但不限于下列算法中的一种:
空算法、SNOW 3G和AES(高级数据加密算法)。
完整性算法包括但不限于下列算法中的一种:
空算法、SNOW 3G和AES。
目标RN设备20和基站10根据AS密钥参数(UE specific parameter),计算出Un口上针对该用户终端的AS密钥KUn-int(完整性密钥)和KUn-enc(加密密钥)。
具体的,基站10根据与目标RN设备20协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与目标RN设备协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥;
目标RN设备20根据与基站10协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
其中,基站10确定一对AS密钥后,将之前确定的该用户终端的一对AS密钥和与目标RN设备20协商好的算法配置到PDCP(Packet Data Convergence Protocol,分组数据聚合协议)实体上,启动Un口上针对该用户终端的RN无线承载的安全保护;
目标RN设备20确定一对AS密钥后,将之前确定的该用户终端的一对AS密钥和与基站10协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
其中,基站10和目标RN设备20之间可以通过协商确定一个AS密钥参数。具体有多种协商方式,下面列举几种。
方式一、AS密钥参数是发起切换请求消息的网络侧设备配置的。
具体的,网络侧设备在确定与自身连接的用户终端需要进行切换时,为该用户终端配置一个AS密钥参数。
这里的网络侧设备可以是除与目标RN设备20连接的基站10之外的其他基站,也可以是除目标RN设备20之外的其他RN设备。
然后网络侧设备会向将AS密钥参数置于切换请求(Handover Request)消息中(比如放到切换请求消息的RRC context IE区域中),向与目标RN设备20连接的基站10发送包含AS密钥参数的切换请求消息。
网络侧设备还可以在切换请求消息中携带利用KeNB(临时密钥)或未使用的NH(Next Hop,下一跳密钥)计算得到的Uu口的临时密钥(KeNB*)、NCC(Next Hop Chaining Count,下一跳计数器)、该用户终端的安全能力等参数。
与目标RN设备20连接的基站10在接收到来自其他网络侧设备的包含AS密钥参数的切换请求消息后,向目标RN设备20转发切换请求消息,其中切换请求消息中的AS密钥参数是发起切换请求消息的网络侧设备配置的。
相应的,基站10将发起切换请求消息的网络侧设备配置的AS密钥参数作为生成AS密钥的AS密钥参数;
目标RN设备20将切换请求消息中的AS密钥参数作为生成AS密钥的AS密钥参数。
进一步的,基站10收到包含AS密钥参数的切换请求消息后,可以先不确定AS密钥参数,直接转发给目标RN设备20;
目标RN设备20提取出AS密钥参数后,将AS密钥参数置于切换请求确认(Handover Request ACK)消息中,发送给基站10;
然后基站10从切换请求确认消息中提取出AS密钥参数,并根据AS密钥参数确定一对AS密钥。
而目标RN设备20可以先发送包含AS密钥参数的切换请求确认消息,然后再确定一对AS密钥;也可以先确定一对AS密钥,然后再发送包含AS密钥参数的切换请求确认消息。
其中,为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数,比如可以使用用户终端在建立RRC(Radio Resource Control,无线资源控制)连接时的RRC Connection Request(RRC连接请求)消息中携带的S-TMSI(临时身份)或Random value(随机数)作为用户终端的标识;或
根据需要进行切换的用户终端(即从基站10或RN设备切换到其他RN设备的用户终端)的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数,例如1、2、3.....;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
方式二、AS密钥参数是与目标RN设备20连接的基站10配置的。
具体的,基站10在确定用户终端需要切换到的目标中继节点RN设备与自身连接后,为该用户终端配置一个AS密钥参数,然后基站10会将AS密钥参数通知给目标RN设备20。
基站10还可以在收到来自目标RN设备20的切换请求确认消息后,为该用户终端配置一个AS密钥参数,然后基站10会将AS密钥参数通知给目标RN设备20。
相应的,目标RN设备20会根据基站10配置的AS密钥参数生成AS密钥。
基站10还可以在切换请求消息中携带利用KeNB或未使用的NH计算得到的Uu口的临时密钥(KeNB*)、NCC、该用户终端的安全能力等参数。
在具体实施过程中,基站10可以在生成AS密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数通知目标RN设备20。
基站10还可以在生成AS密钥参数后,直接将AS密钥参数通知目标RN设备20,目标RN设备20将密钥参数再返回给基站10,然后基站10再根据AS密钥参数生成AS密钥;
而目标RN设备20可以在收到密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数返回给基站10;
目标RN设备20也可以在收到密钥参数后,直接将AS密钥参数返回给基站10,然后再根据AS密钥参数生成AS密钥。
其中,基站10可以在收到来自目标RN设备20的切换请求确认消息后,将AS密钥参数和RN无线承载信息(包括承载标识、PDCP配置、RLC(Radio Link Control,无线链路控制)配置等)置于RN无线承载建立请求消息(Bearer Setup Request)中,向目标RN设备20发送;
相应的,目标RN设备20可以将AS密钥参数置于RN无线承载建立请求确认(Bearer Setup Request ACK)消息中返回给基站10。
如果需要进行切换的用户终端是从与目标RN设备20连接的基站10切换到目标基站10,则基站10为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端(即从基站10切换到其他RN设备的用户终端)的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
如果需要进行切换的用户终端是从与目标RN设备20连接的基站10的其他网络测设备切换到目标基站10,则基站10为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序(即基站10接收的切换请求消息的先后顺序)为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
方式三、其中方式三与方式二的区别在于基站10将配置的AS密钥参数置于切换请求消息中发送给目标RN设备20。
相应的,目标RN设备20根据切换请求消息中的AS密钥参数确定一对AS密钥。
进一步的,基站10确定AS密钥参数后,可以先不根据AS密钥参数确定一对AS密钥,而是向目标RN设备20发送包含AS密钥参数的切换请求消息;
目标RN设备20提取出AS密钥参数后,将AS密钥参数置于切换请求确认消息中,发送给基站10;
然后基站10从切换请求确认消息中提取出AS密钥参数,并根据AS密钥参数确定一对AS密钥。
而目标RN设备20可以先发送包含AS密钥参数的切换请求确认消息,然后再确定一对AS密钥;也可以先确定一对AS密钥,然后再发送包含AS密钥参数的切换请求确认消息
方式三的其他过程与方式二相同,在此不再赘述。
方式四、AS密钥参数是目标RN设备20配置的。
具体的,目标RN设备20在收到来自基站10的切换请求消息后,为该用户终端配置一个AS密钥参数,然后目标RN设备20会将AS密钥参数通知给基站10。
其中,目标RN设备20可以将AS密钥参数置于切换请求确认消息中,发送给基站10。
在具体实施过程中,目标RN设备20可以在生成AS密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数通知基站10。
目标RN设备20还可以在生成AS密钥参数后,直接将AS密钥参数通知基站10,然后根据AS密钥参数生成AS密钥。
基站10可以在切换请求消息中携带利用KeNB或未使用的NH计算得到的Uu口的临时密钥(KeNB*)、NCC、该用户终端的安全能力等参数。
其中,目标RN设备20为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序(即接收到的来自基站10的切换请求消息的顺序)为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数,例如1、2、3.....;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
如图2所示,本发明实施例基站包括:消息发送模块100和第一密钥生成模块110。
消息发送模块100,用于在用户终端需要切换到的目标中继节点RN设备与自身连接时,向目标RN设备发送切换请求消息。
第一密钥生成模块110,用于根据AS密钥参数为用户终端生成一对AS密钥。
其中,基站和目标RN设备使用的AS密钥参数相同。
消息发送模块100在接收到来自其他网络侧设备的包含AS密钥参数的切换请求消息后,向目标RN设备转发切换请求消息,其中切换请求消息中的AS密钥参数是发起切换请求消息的网络侧设备配置的;
第一密钥生成模块110将发起切换请求消息的网络侧设备配置的AS密钥参数作为生成AS密钥的AS密钥参数。
第一密钥生成模块110还可以为用户终端配置一个AS密钥参数,将自身配置的AS密钥参数作为生成AS密钥的AS密钥参数;相应的,消息发送模块100将第一密钥生成模块110配置的AS密钥参数置于切换请求消息中,向目标RN设备发送包含AS密钥参数的切换请求消息。
其中,第一密钥生成模块110将目标RN设备为用户终端配置的AS密钥参数作为生成AS密钥的AS密钥参数。
第一密钥生成模块110可以根据下列配置条件中的一种为用户终端分配AS密钥参数:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;
根据需要进行切换的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
第一密钥生成模块110根据与目标RN设备协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与目标RN设备协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
如图3所示,本发明实施例RN设备包括:接收模块200和第二密钥生成模块210。
接收模块200,用于接收来自基站的切换请求消息,其中切换请求消息是基站在用户终端需要切换到的目标RN设备与自身连接时发送的;
第二密钥生成模块210,用于在接收模块200收到切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥。
其中,第二密钥生成模块210在接收模块200收到的切换请求消息中包含AS密钥参数时,将切换请求消息中的AS密钥参数作为生成AS密钥的AS密钥参数。
其中,第二密钥生成模块210在收到来自基站的AS密钥参数后,将该AS密钥参数作为生成AS密钥的AS密钥参数。
第二密钥生成模块210还可以为用户终端配置一个AS密钥参数,将自身配置的AS密钥参数作为生成AS密钥的AS密钥参数,将为用户终端配置的AS密钥参数通知基站;相应的,第二密钥生成模块210将自身配置的AS密钥参数置于切换请求确认消息中,向基站发送包含AS密钥参数的切换请求确认消息。
第二密钥生成模块210可以根据下列配置条件中的一种为用户终端分配AS密钥参数:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;
根据需要进行切换的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
其中,第二密钥生成模块210根据与基站协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
如图4所示,本发明实施例确定密钥的方法包括下列步骤:
步骤401、基站在用户终端需要切换到的目标RN设备与自身连接时,向目标RN设备发送切换请求消息。
步骤402、基站根据AS密钥参数为用户终端生成一对AS密钥,以及目标RN设备在收到切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥,其中基站和RN设备使用的AS密钥参数相同。
其中,在目标RN设备启动时,服务RN设备的MME会生成一个KeNB(即加密参数),然后将KeNB发送给基站,而RN设备也会生成一个同样的KeNB。
在具体实施过程中,MME利用Kasme(一个密钥记号,类似KeNB)和NAS COUNT=0生成KeNB,RN设备由于有和MME一样的Kasme以及NASCOUNT=0,所以可以计算出与MME一样的KeNB。
目标RN设备作为UE启动时,在目标RN设备、基站、(服务RN的)MME、HSS之间完成一次认证,目标RN设备和基站之间共享一个KeNB,目标RN设备和DeNB之间协商出一个加密算法和完整性算法。
其中,加密算法包括但不限于下列算法中的一种:
空算法、SNOW 3G和AES。
完整性算法包括但不限于下列算法中的一种:
空算法、SNOW 3G和AES。
目标RN设备和基站根据AS密钥参数,计算出Un口上针对该用户终端的AS密钥KUn-int(完整性密钥)和KUn-enc(加密密钥)。
具体的,步骤402中,基站根据与目标RN设备协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与目标RN设备协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥;
目标RN设备根据与基站协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
其中,步骤402之后还可以进一步包括:
基站确定一对AS密钥后,将之前确定的该用户终端的一对AS密钥和与目标RN设备协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护;
目标RN设备确定一对AS密钥后,将之前确定的该用户终端的一对AS密钥和与基站协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
其中,基站和目标RN设备之间可以通过协商确定一个AS密钥参数。具体有多种协商方式,下面列举几种。
方式一、AS密钥参数是发起切换请求消息的网络侧设备配置的。
具体的,网络侧设备在确定与自身连接的用户终端需要进行切换时,为该用户终端配置一个AS密钥参数。
这里的网络侧设备可以是除与目标RN设备连接的基站之外的其他基站,也可以是除目标RN设备之外的其他RN设备。
然后网络侧设备会向将AS密钥参数置于切换请求消息中(比如放到切换请求消息的RRC context IE区域中),向与目标RN设备连接的基站发送包含AS密钥参数的切换请求消息。
网络侧设备还可以在切换请求消息中携带利用KeNB或未使用的NH计算得到的Uu口的临时密钥(KeNB*)、NCC、该用户终端的安全能力等参数。
步骤401中与目标RN设备连接的基站在接收到来自其他网络侧设备的包含AS密钥参数的切换请求消息后,向目标RN设备转发切换请求消息,其中切换请求消息中的AS密钥参数是发起切换请求消息的网络侧设备配置的。
相应的,基站将发起切换请求消息的网络侧设备配置的AS密钥参数作为生成AS密钥的AS密钥参数;
目标RN设备将切换请求消息中的AS密钥参数作为生成AS密钥的AS密钥参数。
进一步的,基站收到包含AS密钥参数的切换请求消息后,可以先不确定AS密钥参数,直接转发给目标RN设备;
目标RN设备提取出AS密钥参数后,将AS密钥参数置于切换请求确认消息中,发送给基站;
然后基站从切换请求确认消息中提取出AS密钥参数,并根据AS密钥参数确定一对AS密钥。
而目标RN设备可以先发送包含AS密钥参数的切换请求确认消息,然后再确定一对AS密钥;也可以先确定一对AS密钥,然后再发送包含AS密钥参数的切换请求确认消息。
其中,为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数,比如可以使用用户终端在建立RRC连接时的RRC Connection Request消息中携带的S-TMSI或Random value作为用户终端的标识;或
根据需要进行切换的用户终端(即从基站或RN设备切换到其他RN设备的用户终端)的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数,例如1、2、3.....;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
方式二、AS密钥参数是与目标RN设备连接的基站配置的。
具体的,基站在确定用户终端需要切换到的目标中继节点RN设备与自身连接后,为该用户终端配置一个AS密钥参数,然后基站会将AS密钥参数通知给目标RN设备。
基站还可以在收到来自目标RN设备的切换请求确认消息后,为该用户终端配置一个AS密钥参数,然后基站会将AS密钥参数通知给目标RN设备。
相应的,目标RN设备会根据基站配置的AS密钥参数生成AS密钥。
基站还可以在切换请求消息中携带利用KeNB或未使用的NH计算得到的Uu口的临时密钥(KeNB*)、NCC、该用户终端的安全能力等参数。
在具体实施过程中,基站可以在生成AS密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数通知目标RN设备。
基站还可以在生成AS密钥参数后,直接将AS密钥参数通知目标RN设备,目标RN设备将密钥参数再返回给基站,然后基站再根据AS密钥参数生成AS密钥;
而目标RN设备可以在收到密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数返回给基站;
目标RN设备也可以在收到密钥参数后,直接将AS密钥参数返回给基站,然后再根据AS密钥参数生成AS密钥。
其中,基站可以在收到来自目标RN设备的切换请求确认消息后,将AS密钥参数和RN无线承载信息置于RN无线承载建立请求消息中,向目标RN设备发送;
相应的,目标RN设备可以将AS密钥参数置于RN无线承载建立请求确认消息中返回给基站。
如果需要进行切换的用户终端是从与目标RN设备连接的基站切换到目标基站,则基站为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端(即从基站切换到其他RN设备的用户终端)的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
如果需要进行切换的用户终端是从与目标RN设备连接的基站的其他网络测设备切换到目标基站,则基站为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序(即基站接收的切换请求消息的先后顺序)为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
方式三、其中方式三与方式二的区别在于基站将配置的AS密钥参数置于切换请求消息中发送给目标RN设备(比如携带Handover Request的RRC消息的一个Container(容器)中)。
相应的,目标RN设备根据切换请求消息中的AS密钥参数确定一对AS密钥。
进一步的,基站确定AS密钥参数后,可以先不根据AS密钥参数确定一对AS密钥,而是向目标RN设备发送包含AS密钥参数的切换请求消息;
目标RN设备提取出AS密钥参数后,将AS密钥参数置于切换请求确认消息中,发送给基站;
然后基站从切换请求确认消息中提取出AS密钥参数,并根据AS密钥参数确定一对AS密钥。
而目标RN设备可以先发送包含AS密钥参数的切换请求确认消息,然后再确定一对AS密钥;也可以先确定一对AS密钥,然后再发送包含AS密钥参数的切换请求确认消息
方式三的其他过程与方式二相同,在此不再赘述。
方式四、AS密钥参数是目标RN设备配置的。
具体的,目标RN设备在收到来自基站的切换请求消息后,为该用户终端配置一个AS密钥参数,然后目标RN设备会将AS密钥参数通知给基站。
其中,目标RN设备可以将AS密钥参数置于切换请求确认消息中,发送给基站。
在具体实施过程中,目标RN设备可以在生成AS密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数通知基站。
目标RN设备还可以在生成AS密钥参数后,直接将AS密钥参数通知基站,然后根据AS密钥参数生成AS密钥。
步骤401中,基站可以在切换请求消息中携带利用KeNB或未使用的NH计算得到的Uu口的临时密钥(KeNB*)、NCC、该用户终端的安全能力等参数。
其中,目标RN设备为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序(即接收到的来自基站的切换请求消息的顺序)为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数,例如1、2、3.....;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
本发明实施例的方法可以应用在多个场景中,下面分别进行说明。
场景一、UE从DeNB1切换到RN1,其中RN1与DeNB1连接。
如图5所示,本发明实施例第一种用户终端切换的方法包括下列步骤:
步骤501、DeNB1在确定UE需要切换到RN1后,向RN1发送Handover Request(切换请求)消息。
步骤502、RN1在收到Handover Request后,向DeNB1发送Handover Request ACK(切换请求确认)消息。
步骤503、DeNB1向UE发送RRC Connection Reconfiguration(RRC连接重配置)消息。
步骤504、UE向RN1发送RRC Connection Reconfiguration complete(RRC连接重配置完成)消息。
步骤505、RN1向DeNB1发送Path Switch Request(路径转换请求)消息。
步骤506、DeNB1向MME转发Path Switch Request消息。
步骤507、MME向DeNB1发送Path Switch ACK(路径转换确认)消息。
步骤508、DeNB1向RN1转发Path Switch ACK消息。
步骤509、RN1向DeNB1发送UE context release(UE上下文释放)消息。
如果场景一采用上述的方式一和三,则步骤501中,DeNB1在确定UE需要切换到RN1后,可以为该UE配置一个AS密钥参数,然后将该AS密钥参数置于Handover Request消息;相应的,RN1还可以将收到的AS密钥参数置于Handover RequestACK消息中。
如果场景一采用上述的方式二,则DeNB1可以在步骤502之后,UE切换到RN1后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知RN1。比如将AS密钥参数置于步骤508的Path Switch ACK消息中;还可以将AS密钥参数置于Bearer Setup Request消息中。如果AS密钥参数置于Bearer Setup Request消息中,RN1还可以将收到的AS密钥参数置于Bearer Setup Request ACK消息中。
如果场景一采用上述的方式四,则RN1可以在步骤501之后,UE切换到RN1后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知DeNB1。比如将AS密钥参数置于步骤502的Handover Request ACK消息中,还可以将AS密钥参数置于步骤505的Path Switch Request消息中或步骤509的UE context release消息。
场景二、UE从RN1切换到与DeNB1连接的RN2,其中RN1与DeNB1连接。
如图6所示,本发明实施例第二种用户终端切换的方法包括下列步骤:
步骤601、RN1在确定UE需要切换后,向DeNB1发送Handover Request消息。
步骤602、DeNB 1在收到Handover Request后,向RN2转发Handover Request消息。
步骤603、RN2向DeNB1发送Handover RequestACK消息。
步骤604、DeNB1向RN1转发Handover Request ACK消息。
步骤605、RN1向UE发送RRC Connection Reconfiguration消息。
步骤606、UE向RN2发送RRC Connection Reconfiguration complete消息。
步骤607、RN2向DeNB1发送Path Switch Request消息。
步骤608、DeNB1向MME转发Path Switch Request消息。
步骤609、MME向DeNB1发送Path Switch ACK消息。
步骤610、DeNB1向RN2转发Path Switch ACK消息。
步骤611、RN2向DeNB1发送UE context release消息。
步骤612、DeNB1向RN1转发UE context release消息。
如果场景二采用上述的方式一,则步骤601中,RN1在确定UE需要切换后,可以为该UE配置一个AS密钥参数,然后将该AS密钥参数置于Handover Request消息;相应的,RN2还可以将收到的AS密钥参数Handover Request ACK消息中。
如果场景二采用上述的方式二,则DeNB1可以在步骤602之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知RN2。比如将AS密钥参数置于步骤610的Path Switch ACK消息中;还可以将AS密钥参数置于Bearer Setup Request消息中。如果AS密钥参数置于Bearer Setup Request消息中,RN2还可以将收到的AS密钥参数置于Bearer Setup Request ACK消息中。
如果场景二采用上述的方式三,则步骤602中,DeNB1在收到Handover Request后,为该UE配置一个AS密钥参数,然后将该AS密钥置于Handover Request中发送给RN2;相应的,RN2还可以将收到的AS密钥参数置于步骤603的Handover Request ACK消息中。
如果场景二采用上述的方式四,则RN2可以在步骤602之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知DeNB2。比如将AS密钥参数置于步骤603的Handover Request ACK消息中,还可以将AS密钥参数置于步骤607的Path SwitchRequest消息中或步骤611的UE context release消息中。
场景三、UE从RN1切换到与DeNB2连接的RN2,其中RN1与DeNB1连接,DeNB 1与DeNB2和同一个MME连接。
如图7所示,本发明实施例第三种用户终端切换的方法包括下列步骤:
步骤701、RN1在确定UE需要切换后,向DeNB1发送Handover Request消息。
步骤702、DeNB1向DeNB2转发Handover Request消息。
步骤703、DeNB2向RN2转发Handover Request消息。
步骤704、RN2向DeNB2发送Handover Request ACK消息。
步骤705~706、DeNB2通过DeNB1向RN1转发Handover Request ACK消息。
步骤707、RN1向UE发送RRC Connection Reconfiguration消息。
步骤708、UE向RN2发送RRC Connection Reconfiguration complete消息。
步骤709、RN2向DeNB2发送Path Switch Request消息。
步骤710、DeNB2向MME转发Path Switch Request消息。
步骤711、MME向DeNB2发送Path Switch ACK消息。
步骤712、DeNB2向RN2转发Path Switch ACK消息。
步骤713、RN2向DeNB2发送UE context release消息。
步骤714~715、DeNB2通过DeNB1向RN1转发UE context release消息。
如果场景三采用上述的方式一,则步骤701中,RN1在确定UE需要切换后,可以为该UE配置一个AS密钥参数,然后将该AS密钥参数置于Handover Request消息;相应的,RN2还可以将收到的AS密钥参数Handover Request ACK消息中。
如果场景三采用上述的方式二,则DeNB2可以在步骤703之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知RN2。比如将AS密钥参数置于步骤712的Path Switch ACK消息中;还可以将AS密钥参数置于Bearer Setup Request消息中。如果AS密钥参数置于Bearer Setup Request消息中,RN2还可以将收到的AS密钥参数置于Bearer Setup Request ACK消息中。
如果场景三采用上述的方式三,则步骤703中,DeNB2在收到Handover Request后,为该UE配置一个AS密钥参数,然后将该AS密钥参数置于Handover Request中发送给RN2;相应的,RN2还可以将收到的AS密钥参数置于步骤704的Handover Request ACK消息中。
如果场景三采用上述的方式四,则RN2可以在步骤703之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知DeNB2。比如将AS密钥参数置于步骤704的Handover Request ACK消息中,还可以将AS密钥参数置于步骤709的Path Switch Request消息中或步骤713的UE context release消息中。
场景四、UE从RN1切换到与DeNB2连接的RN2,其中RN1与DeNB1连接,DeNB1与MME1连接,DeNB2与MME2连接。
如图8所示,本发明实施例第四种用户终端切换的方法包括下列步骤:
步骤801、RN1在确定UE需要切换后,向DeNB1发送Handover Request消息。
步骤802~804、DeNB 1通过MME 1和MME2向DeNB2转发Handover Request消息。
步骤805、DeNB2向RN2转发Handover Request消息。
步骤806、RN2向DeNB2发送Handover Request ACK消息。
步骤807~809、DeNB2通过MME1和MME2向DeNB1转发Handover Request ACK消息。
步骤810、DeNB1向RN1转发Handover Request ACK消息。
步骤811、RN1向UE发送RRC Connection Reconfiguration消息。
步骤812、UE向RN2发送RRC Connection Reconfiguration complete消息。
步骤813、RN2向DeNB2发送Path Switch Request消息。
步骤814、DeNB2向MME2转发Path Switch Request消息。
步骤815、MME2向DeNB2发送Path SwitchACK消息。
步骤816、DeNB2向RN2转发Path Switch ACK消息。
步骤817、RN2向DeNB2发送UE context release消息。
步骤818~820、DeNB2通过MME1和MME2向DeNB1转发UE context release消息。
步骤821、DeNB1向RN1转发UE context release消息。
如果场景四采用上述的方式一,则步骤801中,RN1在确定UE需要切换后,可以为该UE配置一个AS密钥参数,然后将该AS密钥参数置于Handover Request消息;相应的,RN2还可以将收到的AS密钥参数Handover Request ACK消息中。
如果场景四采用上述的方式二,则DeNB2可以在步骤804之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知RN2。比如将AS密钥参数置于步骤816的Path Switch ACK消息中;还可以将AS密钥参数置于Bearer Setup Request消息中。如果AS密钥参数置于Bearer Setup Request消息中,RN2还可以将收到的AS密钥参数置于Bearer Setup Request ACK消息中。
如果场景四采用上述的方式三,则步骤804中,DeNB2在收到Handover Request后,为该UE配置一个AS密钥参数,然后将该AS密钥置于Handover Request中发送给RN2;相应的,RN2还可以将收到的AS密钥参数置于步骤806的Handover Request ACK消息中。
如果场景一采用上述的方式四,则RN2可以在步骤805之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知DeNB2。比如将AS密钥参数置于步骤806的Handover Request ACK消息中,还可以将AS密钥参数置于步骤813的Path Switch Request消息中或步骤817的UE context release消息中。
场景五、UE从UTRAN(Universal Terrestrial Radio Access Network,通用陆地无线接入网)或GERAN(GSM EDGE Radio Access Network,GSM EDGE无线接入网)切换到E-UTRAN中的RN。
其中,场景五与场景四的区别在于Handover Request消息、Handover Request ACK消息和UE context release消息经核心网SGSN(Serving GPRSSupport Node,GPRS服务节点)和MME,其他与场景四类似,不再赘述。由于BSS(Base Station Subsystem,基站子***)或RNC(Radio Network Controller,无线网络控制器)不具备生成AS密钥参数的能力,所以场景五不能使用上述方式一,可使用方式二~四,具体可以参见图9。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
从上述实施例中可以看出:本发明实施例基站在用户终端需要切换到的目标中继节点RN设备与自身连接时,向目标RN设备发送切换请求消息;基站根据AS密钥参数为用户终端生成一对AS密钥,以及目标RN设备在收到切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥;其中基站和目标RN设备使用的AS密钥参数相同。
由于能够根据接入的用户终端,为每个用户终端分别配置一对不同的密钥,从而在LTE-A***中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (30)
1.一种确定密钥的方法,其特征在于,该方法包括:
基站在用户终端需要切换到的目标中继节点RN设备与自身连接时,向所述目标RN设备发送切换请求消息;
所述基站根据接入层AS密钥参数为所述用户终端生成一对AS密钥,以及所述目标RN设备在收到所述切换请求消息后,根据AS密钥参数为所述用户终端生成一对AS密钥;
其中,所述基站和所述目标RN设备使用的AS密钥参数相同。
2.如权利要求1所述的方法,其特征在于,所述基站向所述目标RN设备发送切换请求消息包括:
所述基站在接收到来自其他网络侧设备的包含AS密钥参数的切换请求消息后,向所述目标RN设备转发所述切换请求消息,其中所述切换请求消息中的AS密钥参数是发起切换请求消息的网络侧设备配置的;
所述基站根据下列步骤确定AS密钥参数:
所述基站将所述发起切换请求消息的网络侧设备配置的AS密钥参数作为生成AS密钥的AS密钥参数;
所述目标RN设备根据下列步骤确定AS密钥参数:
所述目标RN设备将所述切换请求消息中的AS密钥参数作为生成AS密钥的AS密钥参数。
3.如权利要求1所述的方法,其特征在于,所述基站根据下列步骤确定AS密钥参数:
所述基站为所述用户终端配置一个AS密钥参数,将自身配置的AS密钥参数作为生成AS密钥的AS密钥参数;
其中,所述目标RN设备生成AS密钥的AS密钥参数是所述基站将自身配置的AS密钥参数通知给所述目标RN设备的。
4.如权利要求3所述的方法,其特征在于,所述基站将自身配置的AS密钥参数置于切换请求消息中,向所述目标RN设备发送包含AS密钥参数的切换请求消息。
5.如权利要求1所述的方法,其特征在于,所述目标RN设备根据下列步骤确定AS密钥参数:
所述目标RN设备为所述用户终端配置一个AS密钥参数,将自身配置的AS密钥参数作为生成AS密钥的AS密钥参数;
该方法还包括:
所述目标RN设备将为所述用户终端配置的AS密钥参数通知所述基站;
所述基站根据下列步骤确定AS密钥参数:
所述基站将所述目标RN设备为所述用户终端配置的AS密钥参数作为生成AS密钥的AS密钥参数。
6.如权利要求5所述的方法,其特征在于,所述目标RN设备将自身配置的AS密钥参数置于切换请求确认消息中,向所述基站发送包含AS密钥参数的切换请求确认消息。
7.如权利要求1~6任一权利要求所述的方法,其特征在于,为所述用户终端配置一个AS密钥参数包括:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
8.如权利要求1~6任一权利要求所述的方法,其特征在于,所述基站生成一对AS密钥包括:
所述基站根据与所述目标RN设备协商确定的完整性算法、所述AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述目标RN设备协商确定的加密算法、所述AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥;
所述目标RN设备生成一对AS密钥包括:
所述目标RN设备根据与所述基站协商确定的完整性算法、所述AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、所述AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
9.一种确定密钥的***,其特征在于,该***包括:
基站,用于在用户终端需要切换到的目标中继节点RN设备与自身连接时,向所述目标RN设备发送切换请求消息,根据接入层AS密钥参数为所述用户终端生成一对AS密钥;
目标RN设备,用于在收到所述切换请求消息后,根据AS密钥参数为所述用户终端生成一对AS密钥;
其中,所述基站和所述目标RN设备使用的AS密钥参数相同。
10.如权利要求9所述的***,其特征在于,所述基站用于:
在接收到来自其他网络侧设备的包含AS密钥参数的切换请求消息后,向所述目标RN设备转发所述切换请求消息,其中所述切换请求消息中的AS密钥参数是发起切换请求消息的网络侧设备配置的;
所述基站还用于:
将所述发起切换请求消息的网络侧设备配置的AS密钥参数作为生成AS密钥的AS密钥参数;
所述目标RN设备还用于:
将所述切换请求消息中的AS密钥参数作为生成AS密钥的AS密钥参数。
11.如权利要求9所述的***,其特征在于,所述基站还用于:
为所述用户终端配置一个AS密钥参数,将自身配置的AS密钥参数作为生成AS密钥的AS密钥参数;
其中,所述目标RN设备生成AS密钥的AS密钥参数是所述基站将自身配置的AS密钥参数通知给所述目标RN设备的。
12.如权利要求11所述的***,其特征在于,所述基站还用于:
将自身配置的AS密钥参数置于切换请求消息中,向所述目标RN设备发送包含AS密钥参数的切换请求消息。
13.如权利要求9所述的***,其特征在于,所述目标RN设备还用于:
为所述用户终端配置一个AS密钥参数,将自身配置的AS密钥参数作为生成AS密钥的AS密钥参数,将为所述用户终端配置的AS密钥参数通知所述基站;
所述基站还用于:
将所述目标RN设备为所述用户终端配置的AS密钥参数作为生成AS密钥的AS密钥参数。
14.如权利要求13所述的***,其特征在于,所述目标RN设备还用于:
将自身配置的AS密钥参数置于切换请求确认消息中,向所述基站发送包含AS密钥参数的切换请求确认消息。
15.如权利要求9~13任一权利要求所述的***,其特征在于,为所述用户终端配置一个AS密钥参数包括:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
16.如权利要求9~13任一权利要求所述的***,其特征在于,所述基站用于:
根据与所述目标RN设备协商确定的完整性算法、所述AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述目标RN设备协商确定的加密算法、所述AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥;
所述目标RN设备用于:
根据与所述基站协商确定的完整性算法、所述AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、所述AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
17.一种基站,其特征在于,该基站包括:
消息发送模块,用于在用户终端需要切换到的目标中继节点RN设备与自身连接时,向所述目标RN设备发送切换请求消息;
第一密钥生成模块,用于根据接入层AS密钥参数为所述用户终端生成一对AS密钥;
其中,所述基站和所述目标RN设备使用的AS密钥参数相同。
18.如权利要求17所述的基站,其特征在于,所述消息发送模块用于:
在接收到来自其他网络侧设备的包含AS密钥参数的切换请求消息后,向所述目标RN设备转发所述切换请求消息,其中所述切换请求消息中的AS密钥参数是发起切换请求消息的网络侧设备配置的;
所述第一密钥生成模块还用于:
将所述发起切换请求消息的网络侧设备配置的AS密钥参数作为生成AS密钥的AS密钥参数。
19.如权利要求17所述的基站,其特征在于,所述第一密钥生成模块还用于:
为所述用户终端配置一个AS密钥参数,将自身配置的AS密钥参数作为生成AS密钥的AS密钥参数。
20.如权利要求19所述的基站,其特征在于,所述消息发送模块还用于:
将所述第一密钥生成模块配置的AS密钥参数置于切换请求消息中,向所述目标RN设备发送包含AS密钥参数的切换请求消息。
21.如权利要求17所述的基站,其特征在于,所述第一密钥生成模块还用于:
将所述目标RN设备为所述用户终端配置的AS密钥参数作为生成AS密钥的AS密钥参数。
22.如权利要求19所述的基站,其特征在于,所述第一密钥生成模块还用于:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
23.如权利要求17~22任一权利要求所述的基站,其特征在于,所述第一密钥生成模块用于:
根据与所述目标RN设备协商确定的完整性算法、所述AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述目标RN设备协商确定的加密算法、所述AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
24.一种中继节点RN设备,其特征在于,该RN设备包括:
接收模块,用于接收来自基站的切换请求消息,其中所述切换请求消息是基站在用户终端需要切换到的目标RN设备与自身连接时发送的;
第二密钥生成模块,用于在所述接收模块收到所述切换请求消息后,根据接入层AS密钥参数为所述用户终端生成一对AS密钥。
25.如权利要求24所述的RN设备,其特征在于,所述第二密钥生成模块还用于:
在所述接收模块收到的所述切换请求消息中包含AS密钥参数时,将所述切换请求消息中的AS密钥参数作为生成AS密钥的AS密钥参数。
26.如权利要求24所述的RN设备,其特征在于,所述第二密钥生成模块还用于:
在收到来自所述基站的AS密钥参数后,将该AS密钥参数作为生成AS密钥的AS密钥参数。
27.如权利要求24所述的RN设备,其特征在于,所述第二密钥生成模块还用于:
为所述用户终端配置一个AS密钥参数,将自身配置的AS密钥参数作为生成AS密钥的AS密钥参数,将为所述用户终端配置的AS密钥参数通知所述基站。
28.如权利要求27所述的RN设备,其特征在于,所述第二密钥生成模块还用于:
将自身配置的AS密钥参数置于切换请求确认消息中,向所述基站发送包含AS密钥参数的切换请求确认消息。
29.如权利要求27所述的RN设备,其特征在于,所述第二密钥生成模块还用于:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
30.如权利要求24~29任一权利要求所述的RN设备,其特征在于,所述第二密钥生成模块用于:
根据与所述基站协商确定的完整性算法、所述AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、所述AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910237197.XA CN102065420B (zh) | 2009-11-11 | 2009-11-11 | 一种确定密钥的方法、***和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910237197.XA CN102065420B (zh) | 2009-11-11 | 2009-11-11 | 一种确定密钥的方法、***和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102065420A true CN102065420A (zh) | 2011-05-18 |
| CN102065420B CN102065420B (zh) | 2013-06-26 |
Family
ID=44000471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910237197.XA Active CN102065420B (zh) | 2009-11-11 | 2009-11-11 | 一种确定密钥的方法、***和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102065420B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018010186A1 (zh) * | 2016-07-15 | 2018-01-18 | 华为技术有限公司 | 密钥获取方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1973265A1 (en) * | 2007-03-21 | 2008-09-24 | Nokia Siemens Networks Gmbh & Co. Kg | Key refresh in SAE/LTE system |
| CN101309500A (zh) * | 2007-05-15 | 2008-11-19 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
| CN101483865A (zh) * | 2009-01-19 | 2009-07-15 | 中兴通讯股份有限公司 | 一种密钥更替方法、***及设备 |
-
2009
- 2009-11-11 CN CN200910237197.XA patent/CN102065420B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1973265A1 (en) * | 2007-03-21 | 2008-09-24 | Nokia Siemens Networks Gmbh & Co. Kg | Key refresh in SAE/LTE system |
| CN101309500A (zh) * | 2007-05-15 | 2008-11-19 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
| CN101483865A (zh) * | 2009-01-19 | 2009-07-15 | 中兴通讯股份有限公司 | 一种密钥更替方法、***及设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018010186A1 (zh) * | 2016-07-15 | 2018-01-18 | 华为技术有限公司 | 密钥获取方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102065420B (zh) | 2013-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3485699B1 (en) | Layer 2 relay to support coverage and resource-constrained devices in wireless networks | |
| US20220159537A1 (en) | Apparatus, system and method for dual connectivity | |
| EP2663107B1 (en) | Key generating method and apparatus | |
| CN104581843B (zh) | 用于无线通信***的网络端的处理交递方法及其通信装置 | |
| CN102056157B (zh) | 一种确定密钥和密文的方法、***及装置 | |
| EP2611227B1 (en) | DATA PROTECTION ON AN Un INTERFACE | |
| CN101399767B (zh) | 终端移动时安全能力协商的方法、***及装置 | |
| US20170359719A1 (en) | Key generation method, device, and system | |
| CN106105143A (zh) | 双连接性中的安全性密钥推导 | |
| CN101931953B (zh) | 生成与设备绑定的安全密钥的方法及*** | |
| EP3941119B1 (en) | Handover control method and apparatus | |
| CN109362108A (zh) | 一种安全保护的方法、装置和*** | |
| US10321308B2 (en) | Method of refreshing a key in a user plane architecture 1A based dual connectivity situation | |
| CN105874766B (zh) | 在用户设备之间提供受控证书的方法和设备 | |
| WO2015062097A1 (zh) | 一种双连接模式下的密钥处理方法和设备 | |
| CN104737570A (zh) | 生成用于第一用户设备和第二用户设备之间的设备对设备通信的密钥的方法和设备 | |
| CN111641947B (zh) | 密钥配置的方法、装置和终端 | |
| CN104349309A (zh) | 一种移动通信***中利用nh、ncc对解决安全问题的方法 | |
| CN103888936B (zh) | 小区优化方法及装置 | |
| WO2012031510A1 (zh) | 一种实现安全密钥同步绑定的方法及*** | |
| WO2020056433A2 (en) | SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo) | |
| CN101552983A (zh) | 密钥生成方法、密钥生成装置、移动管理实体与用户设备 | |
| CN101299888A (zh) | 密钥生成方法、切换方法、移动管理实体和用户设备 | |
| CN102572816B (zh) | 一种移动切换的方法及装置 | |
| CN103139771A (zh) | 切换过程中密钥生成方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee after: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210601 Address after: 100085 1st floor, building 1, yard 5, Shangdi East Road, Haidian District, Beijing Patentee after: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd. Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |
|
| TR01 | Transfer of patent right |