具体实施方式
本发明实施例基站在用户终端需要切换到的目标RN设备与自身连接时,向目标RN设备发送切换请求消息,根据AS(Access Stratum,接入层)密钥参数为用户终端生成一对AS密钥,以及目标RN设备在收到切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥;其中,基站和目标RN设备使用的AS密钥参数相同。
由于能够根据接入的用户终端,为每个用户终端分别配置一对不同的密钥,从而在LTE-A***中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
需要说明的是,本发明实施例并不局限于LTE-A***,其他含有RN设备的***同样适用本发明实施例。
下面结合说明书附图对本发明实施例作进一步详细描述。
如图1所示,本发明实施例确定密钥的***包括:基站10和目标RN设备20。
基站10,用于在用户终端需要切换到的目标中继节点RN设备与自身连接时,向目标RN设备发送切换请求消息,根据AS密钥参数为用户终端生成一对AS密钥;
目标RN设备20,用于在收到来自基站10的切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥;
其中,基站和目标RN设备使用的AS密钥参数相同。
其中,在目标RN设备20启动时,服务RN设备的MME(Mobility Management Entity,移动性管理实体)会生成一个KeNB(即加密参数),然后将KeNB发送给基站,而RN设备也会生成一个同样的KeNB。
在具体实施过程中,MME利用Kasme(一个密钥记号,类似KeNB)和NAS COUNT(非接入层计数器值)=0生成KeNB,RN设备由于有和MME一样的Kasme以及NAS COUNT=0,所以可以计算出与MME一样的KeNB。
目标RN设备20作为UE启动时,在目标RN设备、基站、(服务RN的)MME、HSS(Home Subscriber Server,归属用户服务器)之间完成一次认证,目标RN设备和基站之间共享一个KeNB,目标RN设备和DeNB之间协商出一个加密算法和完整性算法。
其中,加密算法包括但不限于下列算法中的一种:
空算法、SNOW 3G和AES(高级数据加密算法)。
完整性算法包括但不限于下列算法中的一种:
空算法、SNOW 3G和AES。
目标RN设备20和基站10根据AS密钥参数(UE specific parameter),计算出Un口上针对该用户终端的AS密钥KUn-int(完整性密钥)和KUn-enc(加密密钥)。
具体的,基站10根据与目标RN设备20协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与目标RN设备协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥;
目标RN设备20根据与基站10协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
其中,基站10确定一对AS密钥后,将之前确定的该用户终端的一对AS密钥和与目标RN设备20协商好的算法配置到PDCP(Packet Data Convergence Protocol,分组数据聚合协议)实体上,启动Un口上针对该用户终端的RN无线承载的安全保护;
目标RN设备20确定一对AS密钥后,将之前确定的该用户终端的一对AS密钥和与基站10协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
其中,基站10和目标RN设备20之间可以通过协商确定一个AS密钥参数。具体有多种协商方式,下面列举几种。
方式一、AS密钥参数是发起切换请求消息的网络侧设备配置的。
具体的,网络侧设备在确定与自身连接的用户终端需要进行切换时,为该用户终端配置一个AS密钥参数。
这里的网络侧设备可以是除与目标RN设备20连接的基站10之外的其他基站,也可以是除目标RN设备20之外的其他RN设备。
然后网络侧设备会向将AS密钥参数置于切换请求(Handover Request)消息中(比如放到切换请求消息的RRC context IE区域中),向与目标RN设备20连接的基站10发送包含AS密钥参数的切换请求消息。
网络侧设备还可以在切换请求消息中携带利用KeNB(临时密钥)或未使用的NH(Next Hop,下一跳密钥)计算得到的Uu口的临时密钥(KeNB*)、NCC(Next Hop Chaining Count,下一跳计数器)、该用户终端的安全能力等参数。
与目标RN设备20连接的基站10在接收到来自其他网络侧设备的包含AS密钥参数的切换请求消息后,向目标RN设备20转发切换请求消息,其中切换请求消息中的AS密钥参数是发起切换请求消息的网络侧设备配置的。
相应的,基站10将发起切换请求消息的网络侧设备配置的AS密钥参数作为生成AS密钥的AS密钥参数;
目标RN设备20将切换请求消息中的AS密钥参数作为生成AS密钥的AS密钥参数。
进一步的,基站10收到包含AS密钥参数的切换请求消息后,可以先不确定AS密钥参数,直接转发给目标RN设备20;
目标RN设备20提取出AS密钥参数后,将AS密钥参数置于切换请求确认(Handover Request ACK)消息中,发送给基站10;
然后基站10从切换请求确认消息中提取出AS密钥参数,并根据AS密钥参数确定一对AS密钥。
而目标RN设备20可以先发送包含AS密钥参数的切换请求确认消息,然后再确定一对AS密钥;也可以先确定一对AS密钥,然后再发送包含AS密钥参数的切换请求确认消息。
其中,为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数,比如可以使用用户终端在建立RRC(Radio Resource Control,无线资源控制)连接时的RRC Connection Request(RRC连接请求)消息中携带的S-TMSI(临时身份)或Random value(随机数)作为用户终端的标识;或
根据需要进行切换的用户终端(即从基站10或RN设备切换到其他RN设备的用户终端)的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数,例如1、2、3.....;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
方式二、AS密钥参数是与目标RN设备20连接的基站10配置的。
具体的,基站10在确定用户终端需要切换到的目标中继节点RN设备与自身连接后,为该用户终端配置一个AS密钥参数,然后基站10会将AS密钥参数通知给目标RN设备20。
基站10还可以在收到来自目标RN设备20的切换请求确认消息后,为该用户终端配置一个AS密钥参数,然后基站10会将AS密钥参数通知给目标RN设备20。
相应的,目标RN设备20会根据基站10配置的AS密钥参数生成AS密钥。
基站10还可以在切换请求消息中携带利用KeNB或未使用的NH计算得到的Uu口的临时密钥(KeNB*)、NCC、该用户终端的安全能力等参数。
在具体实施过程中,基站10可以在生成AS密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数通知目标RN设备20。
基站10还可以在生成AS密钥参数后,直接将AS密钥参数通知目标RN设备20,目标RN设备20将密钥参数再返回给基站10,然后基站10再根据AS密钥参数生成AS密钥;
而目标RN设备20可以在收到密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数返回给基站10;
目标RN设备20也可以在收到密钥参数后,直接将AS密钥参数返回给基站10,然后再根据AS密钥参数生成AS密钥。
其中,基站10可以在收到来自目标RN设备20的切换请求确认消息后,将AS密钥参数和RN无线承载信息(包括承载标识、PDCP配置、RLC(Radio Link Control,无线链路控制)配置等)置于RN无线承载建立请求消息(Bearer Setup Request)中,向目标RN设备20发送;
相应的,目标RN设备20可以将AS密钥参数置于RN无线承载建立请求确认(Bearer Setup Request ACK)消息中返回给基站10。
如果需要进行切换的用户终端是从与目标RN设备20连接的基站10切换到目标基站10,则基站10为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端(即从基站10切换到其他RN设备的用户终端)的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
如果需要进行切换的用户终端是从与目标RN设备20连接的基站10的其他网络测设备切换到目标基站10,则基站10为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序(即基站10接收的切换请求消息的先后顺序)为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
方式三、其中方式三与方式二的区别在于基站10将配置的AS密钥参数置于切换请求消息中发送给目标RN设备20。
相应的,目标RN设备20根据切换请求消息中的AS密钥参数确定一对AS密钥。
进一步的,基站10确定AS密钥参数后,可以先不根据AS密钥参数确定一对AS密钥,而是向目标RN设备20发送包含AS密钥参数的切换请求消息;
目标RN设备20提取出AS密钥参数后,将AS密钥参数置于切换请求确认消息中,发送给基站10;
然后基站10从切换请求确认消息中提取出AS密钥参数,并根据AS密钥参数确定一对AS密钥。
而目标RN设备20可以先发送包含AS密钥参数的切换请求确认消息,然后再确定一对AS密钥;也可以先确定一对AS密钥,然后再发送包含AS密钥参数的切换请求确认消息
方式三的其他过程与方式二相同,在此不再赘述。
方式四、AS密钥参数是目标RN设备20配置的。
具体的,目标RN设备20在收到来自基站10的切换请求消息后,为该用户终端配置一个AS密钥参数,然后目标RN设备20会将AS密钥参数通知给基站10。
其中,目标RN设备20可以将AS密钥参数置于切换请求确认消息中,发送给基站10。
在具体实施过程中,目标RN设备20可以在生成AS密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数通知基站10。
目标RN设备20还可以在生成AS密钥参数后,直接将AS密钥参数通知基站10,然后根据AS密钥参数生成AS密钥。
基站10可以在切换请求消息中携带利用KeNB或未使用的NH计算得到的Uu口的临时密钥(KeNB*)、NCC、该用户终端的安全能力等参数。
其中,目标RN设备20为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序(即接收到的来自基站10的切换请求消息的顺序)为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数,例如1、2、3.....;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
如图2所示,本发明实施例基站包括:消息发送模块100和第一密钥生成模块110。
消息发送模块100,用于在用户终端需要切换到的目标中继节点RN设备与自身连接时,向目标RN设备发送切换请求消息。
第一密钥生成模块110,用于根据AS密钥参数为用户终端生成一对AS密钥。
其中,基站和目标RN设备使用的AS密钥参数相同。
消息发送模块100在接收到来自其他网络侧设备的包含AS密钥参数的切换请求消息后,向目标RN设备转发切换请求消息,其中切换请求消息中的AS密钥参数是发起切换请求消息的网络侧设备配置的;
第一密钥生成模块110将发起切换请求消息的网络侧设备配置的AS密钥参数作为生成AS密钥的AS密钥参数。
第一密钥生成模块110还可以为用户终端配置一个AS密钥参数,将自身配置的AS密钥参数作为生成AS密钥的AS密钥参数;相应的,消息发送模块100将第一密钥生成模块110配置的AS密钥参数置于切换请求消息中,向目标RN设备发送包含AS密钥参数的切换请求消息。
其中,第一密钥生成模块110将目标RN设备为用户终端配置的AS密钥参数作为生成AS密钥的AS密钥参数。
第一密钥生成模块110可以根据下列配置条件中的一种为用户终端分配AS密钥参数:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;
根据需要进行切换的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
第一密钥生成模块110根据与目标RN设备协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与目标RN设备协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
如图3所示,本发明实施例RN设备包括:接收模块200和第二密钥生成模块210。
接收模块200,用于接收来自基站的切换请求消息,其中切换请求消息是基站在用户终端需要切换到的目标RN设备与自身连接时发送的;
第二密钥生成模块210,用于在接收模块200收到切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥。
其中,第二密钥生成模块210在接收模块200收到的切换请求消息中包含AS密钥参数时,将切换请求消息中的AS密钥参数作为生成AS密钥的AS密钥参数。
其中,第二密钥生成模块210在收到来自基站的AS密钥参数后,将该AS密钥参数作为生成AS密钥的AS密钥参数。
第二密钥生成模块210还可以为用户终端配置一个AS密钥参数,将自身配置的AS密钥参数作为生成AS密钥的AS密钥参数,将为用户终端配置的AS密钥参数通知基站;相应的,第二密钥生成模块210将自身配置的AS密钥参数置于切换请求确认消息中,向基站发送包含AS密钥参数的切换请求确认消息。
第二密钥生成模块210可以根据下列配置条件中的一种为用户终端分配AS密钥参数:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;
根据需要进行切换的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
其中,第二密钥生成模块210根据与基站协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
如图4所示,本发明实施例确定密钥的方法包括下列步骤:
步骤401、基站在用户终端需要切换到的目标RN设备与自身连接时,向目标RN设备发送切换请求消息。
步骤402、基站根据AS密钥参数为用户终端生成一对AS密钥,以及目标RN设备在收到切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥,其中基站和RN设备使用的AS密钥参数相同。
其中,在目标RN设备启动时,服务RN设备的MME会生成一个KeNB(即加密参数),然后将KeNB发送给基站,而RN设备也会生成一个同样的KeNB。
在具体实施过程中,MME利用Kasme(一个密钥记号,类似KeNB)和NAS COUNT=0生成KeNB,RN设备由于有和MME一样的Kasme以及NASCOUNT=0,所以可以计算出与MME一样的KeNB。
目标RN设备作为UE启动时,在目标RN设备、基站、(服务RN的)MME、HSS之间完成一次认证,目标RN设备和基站之间共享一个KeNB,目标RN设备和DeNB之间协商出一个加密算法和完整性算法。
其中,加密算法包括但不限于下列算法中的一种:
空算法、SNOW 3G和AES。
完整性算法包括但不限于下列算法中的一种:
空算法、SNOW 3G和AES。
目标RN设备和基站根据AS密钥参数,计算出Un口上针对该用户终端的AS密钥KUn-int(完整性密钥)和KUn-enc(加密密钥)。
具体的,步骤402中,基站根据与目标RN设备协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与目标RN设备协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥;
目标RN设备根据与基站协商确定的完整性算法、AS密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、AS密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
其中,步骤402之后还可以进一步包括:
基站确定一对AS密钥后,将之前确定的该用户终端的一对AS密钥和与目标RN设备协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护;
目标RN设备确定一对AS密钥后,将之前确定的该用户终端的一对AS密钥和与基站协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
其中,基站和目标RN设备之间可以通过协商确定一个AS密钥参数。具体有多种协商方式,下面列举几种。
方式一、AS密钥参数是发起切换请求消息的网络侧设备配置的。
具体的,网络侧设备在确定与自身连接的用户终端需要进行切换时,为该用户终端配置一个AS密钥参数。
这里的网络侧设备可以是除与目标RN设备连接的基站之外的其他基站,也可以是除目标RN设备之外的其他RN设备。
然后网络侧设备会向将AS密钥参数置于切换请求消息中(比如放到切换请求消息的RRC context IE区域中),向与目标RN设备连接的基站发送包含AS密钥参数的切换请求消息。
网络侧设备还可以在切换请求消息中携带利用KeNB或未使用的NH计算得到的Uu口的临时密钥(KeNB*)、NCC、该用户终端的安全能力等参数。
步骤401中与目标RN设备连接的基站在接收到来自其他网络侧设备的包含AS密钥参数的切换请求消息后,向目标RN设备转发切换请求消息,其中切换请求消息中的AS密钥参数是发起切换请求消息的网络侧设备配置的。
相应的,基站将发起切换请求消息的网络侧设备配置的AS密钥参数作为生成AS密钥的AS密钥参数;
目标RN设备将切换请求消息中的AS密钥参数作为生成AS密钥的AS密钥参数。
进一步的,基站收到包含AS密钥参数的切换请求消息后,可以先不确定AS密钥参数,直接转发给目标RN设备;
目标RN设备提取出AS密钥参数后,将AS密钥参数置于切换请求确认消息中,发送给基站;
然后基站从切换请求确认消息中提取出AS密钥参数,并根据AS密钥参数确定一对AS密钥。
而目标RN设备可以先发送包含AS密钥参数的切换请求确认消息,然后再确定一对AS密钥;也可以先确定一对AS密钥,然后再发送包含AS密钥参数的切换请求确认消息。
其中,为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数,比如可以使用用户终端在建立RRC连接时的RRC Connection Request消息中携带的S-TMSI或Random value作为用户终端的标识;或
根据需要进行切换的用户终端(即从基站或RN设备切换到其他RN设备的用户终端)的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数,例如1、2、3.....;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
方式二、AS密钥参数是与目标RN设备连接的基站配置的。
具体的,基站在确定用户终端需要切换到的目标中继节点RN设备与自身连接后,为该用户终端配置一个AS密钥参数,然后基站会将AS密钥参数通知给目标RN设备。
基站还可以在收到来自目标RN设备的切换请求确认消息后,为该用户终端配置一个AS密钥参数,然后基站会将AS密钥参数通知给目标RN设备。
相应的,目标RN设备会根据基站配置的AS密钥参数生成AS密钥。
基站还可以在切换请求消息中携带利用KeNB或未使用的NH计算得到的Uu口的临时密钥(KeNB*)、NCC、该用户终端的安全能力等参数。
在具体实施过程中,基站可以在生成AS密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数通知目标RN设备。
基站还可以在生成AS密钥参数后,直接将AS密钥参数通知目标RN设备,目标RN设备将密钥参数再返回给基站,然后基站再根据AS密钥参数生成AS密钥;
而目标RN设备可以在收到密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数返回给基站;
目标RN设备也可以在收到密钥参数后,直接将AS密钥参数返回给基站,然后再根据AS密钥参数生成AS密钥。
其中,基站可以在收到来自目标RN设备的切换请求确认消息后,将AS密钥参数和RN无线承载信息置于RN无线承载建立请求消息中,向目标RN设备发送;
相应的,目标RN设备可以将AS密钥参数置于RN无线承载建立请求确认消息中返回给基站。
如果需要进行切换的用户终端是从与目标RN设备连接的基站切换到目标基站,则基站为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端(即从基站切换到其他RN设备的用户终端)的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
如果需要进行切换的用户终端是从与目标RN设备连接的基站的其他网络测设备切换到目标基站,则基站为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序(即基站接收的切换请求消息的先后顺序)为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
方式三、其中方式三与方式二的区别在于基站将配置的AS密钥参数置于切换请求消息中发送给目标RN设备(比如携带Handover Request的RRC消息的一个Container(容器)中)。
相应的,目标RN设备根据切换请求消息中的AS密钥参数确定一对AS密钥。
进一步的,基站确定AS密钥参数后,可以先不根据AS密钥参数确定一对AS密钥,而是向目标RN设备发送包含AS密钥参数的切换请求消息;
目标RN设备提取出AS密钥参数后,将AS密钥参数置于切换请求确认消息中,发送给基站;
然后基站从切换请求确认消息中提取出AS密钥参数,并根据AS密钥参数确定一对AS密钥。
而目标RN设备可以先发送包含AS密钥参数的切换请求确认消息,然后再确定一对AS密钥;也可以先确定一对AS密钥,然后再发送包含AS密钥参数的切换请求确认消息
方式三的其他过程与方式二相同,在此不再赘述。
方式四、AS密钥参数是目标RN设备配置的。
具体的,目标RN设备在收到来自基站的切换请求消息后,为该用户终端配置一个AS密钥参数,然后目标RN设备会将AS密钥参数通知给基站。
其中,目标RN设备可以将AS密钥参数置于切换请求确认消息中,发送给基站。
在具体实施过程中,目标RN设备可以在生成AS密钥参数后,直接根据AS密钥参数生成AS密钥,然后再将AS密钥参数通知基站。
目标RN设备还可以在生成AS密钥参数后,直接将AS密钥参数通知基站,然后根据AS密钥参数生成AS密钥。
步骤401中,基站可以在切换请求消息中携带利用KeNB或未使用的NH计算得到的Uu口的临时密钥(KeNB*)、NCC、该用户终端的安全能力等参数。
其中,目标RN设备为用户终端配置AS密钥参数的方式包括但不限于下列方式中的一种:
将需要进行切换的用户终端的标识作为该用户终端的AS密钥参数;或
根据需要进行切换的用户终端的先后顺序(即接收到的来自基站的切换请求消息的顺序)为每个用户终端分配一个编号,并将分配的编号作为该用户终端的AS密钥参数,例如1、2、3.....;或
随机生成一个数字,并将生成的数字作为该用户终端的AS密钥参数。
本发明实施例的方法可以应用在多个场景中,下面分别进行说明。
场景一、UE从DeNB1切换到RN1,其中RN1与DeNB1连接。
如图5所示,本发明实施例第一种用户终端切换的方法包括下列步骤:
步骤501、DeNB1在确定UE需要切换到RN1后,向RN1发送Handover Request(切换请求)消息。
步骤502、RN1在收到Handover Request后,向DeNB1发送Handover Request ACK(切换请求确认)消息。
步骤503、DeNB1向UE发送RRC Connection Reconfiguration(RRC连接重配置)消息。
步骤504、UE向RN1发送RRC Connection Reconfiguration complete(RRC连接重配置完成)消息。
步骤505、RN1向DeNB1发送Path Switch Request(路径转换请求)消息。
步骤506、DeNB1向MME转发Path Switch Request消息。
步骤507、MME向DeNB1发送Path Switch ACK(路径转换确认)消息。
步骤508、DeNB1向RN1转发Path Switch ACK消息。
步骤509、RN1向DeNB1发送UE context release(UE上下文释放)消息。
如果场景一采用上述的方式一和三,则步骤501中,DeNB1在确定UE需要切换到RN1后,可以为该UE配置一个AS密钥参数,然后将该AS密钥参数置于Handover Request消息;相应的,RN1还可以将收到的AS密钥参数置于Handover RequestACK消息中。
如果场景一采用上述的方式二,则DeNB1可以在步骤502之后,UE切换到RN1后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知RN1。比如将AS密钥参数置于步骤508的Path Switch ACK消息中;还可以将AS密钥参数置于Bearer Setup Request消息中。如果AS密钥参数置于Bearer Setup Request消息中,RN1还可以将收到的AS密钥参数置于Bearer Setup Request ACK消息中。
如果场景一采用上述的方式四,则RN1可以在步骤501之后,UE切换到RN1后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知DeNB1。比如将AS密钥参数置于步骤502的Handover Request ACK消息中,还可以将AS密钥参数置于步骤505的Path Switch Request消息中或步骤509的UE context release消息。
场景二、UE从RN1切换到与DeNB1连接的RN2,其中RN1与DeNB1连接。
如图6所示,本发明实施例第二种用户终端切换的方法包括下列步骤:
步骤601、RN1在确定UE需要切换后,向DeNB1发送Handover Request消息。
步骤602、DeNB 1在收到Handover Request后,向RN2转发Handover Request消息。
步骤603、RN2向DeNB1发送Handover RequestACK消息。
步骤604、DeNB1向RN1转发Handover Request ACK消息。
步骤605、RN1向UE发送RRC Connection Reconfiguration消息。
步骤606、UE向RN2发送RRC Connection Reconfiguration complete消息。
步骤607、RN2向DeNB1发送Path Switch Request消息。
步骤608、DeNB1向MME转发Path Switch Request消息。
步骤609、MME向DeNB1发送Path Switch ACK消息。
步骤610、DeNB1向RN2转发Path Switch ACK消息。
步骤611、RN2向DeNB1发送UE context release消息。
步骤612、DeNB1向RN1转发UE context release消息。
如果场景二采用上述的方式一,则步骤601中,RN1在确定UE需要切换后,可以为该UE配置一个AS密钥参数,然后将该AS密钥参数置于Handover Request消息;相应的,RN2还可以将收到的AS密钥参数Handover Request ACK消息中。
如果场景二采用上述的方式二,则DeNB1可以在步骤602之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知RN2。比如将AS密钥参数置于步骤610的Path Switch ACK消息中;还可以将AS密钥参数置于Bearer Setup Request消息中。如果AS密钥参数置于Bearer Setup Request消息中,RN2还可以将收到的AS密钥参数置于Bearer Setup Request ACK消息中。
如果场景二采用上述的方式三,则步骤602中,DeNB1在收到Handover Request后,为该UE配置一个AS密钥参数,然后将该AS密钥置于Handover Request中发送给RN2;相应的,RN2还可以将收到的AS密钥参数置于步骤603的Handover Request ACK消息中。
如果场景二采用上述的方式四,则RN2可以在步骤602之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知DeNB2。比如将AS密钥参数置于步骤603的Handover Request ACK消息中,还可以将AS密钥参数置于步骤607的Path SwitchRequest消息中或步骤611的UE context release消息中。
场景三、UE从RN1切换到与DeNB2连接的RN2,其中RN1与DeNB1连接,DeNB 1与DeNB2和同一个MME连接。
如图7所示,本发明实施例第三种用户终端切换的方法包括下列步骤:
步骤701、RN1在确定UE需要切换后,向DeNB1发送Handover Request消息。
步骤702、DeNB1向DeNB2转发Handover Request消息。
步骤703、DeNB2向RN2转发Handover Request消息。
步骤704、RN2向DeNB2发送Handover Request ACK消息。
步骤705~706、DeNB2通过DeNB1向RN1转发Handover Request ACK消息。
步骤707、RN1向UE发送RRC Connection Reconfiguration消息。
步骤708、UE向RN2发送RRC Connection Reconfiguration complete消息。
步骤709、RN2向DeNB2发送Path Switch Request消息。
步骤710、DeNB2向MME转发Path Switch Request消息。
步骤711、MME向DeNB2发送Path Switch ACK消息。
步骤712、DeNB2向RN2转发Path Switch ACK消息。
步骤713、RN2向DeNB2发送UE context release消息。
步骤714~715、DeNB2通过DeNB1向RN1转发UE context release消息。
如果场景三采用上述的方式一,则步骤701中,RN1在确定UE需要切换后,可以为该UE配置一个AS密钥参数,然后将该AS密钥参数置于Handover Request消息;相应的,RN2还可以将收到的AS密钥参数Handover Request ACK消息中。
如果场景三采用上述的方式二,则DeNB2可以在步骤703之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知RN2。比如将AS密钥参数置于步骤712的Path Switch ACK消息中;还可以将AS密钥参数置于Bearer Setup Request消息中。如果AS密钥参数置于Bearer Setup Request消息中,RN2还可以将收到的AS密钥参数置于Bearer Setup Request ACK消息中。
如果场景三采用上述的方式三,则步骤703中,DeNB2在收到Handover Request后,为该UE配置一个AS密钥参数,然后将该AS密钥参数置于Handover Request中发送给RN2;相应的,RN2还可以将收到的AS密钥参数置于步骤704的Handover Request ACK消息中。
如果场景三采用上述的方式四,则RN2可以在步骤703之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知DeNB2。比如将AS密钥参数置于步骤704的Handover Request ACK消息中,还可以将AS密钥参数置于步骤709的Path Switch Request消息中或步骤713的UE context release消息中。
场景四、UE从RN1切换到与DeNB2连接的RN2,其中RN1与DeNB1连接,DeNB1与MME1连接,DeNB2与MME2连接。
如图8所示,本发明实施例第四种用户终端切换的方法包括下列步骤:
步骤801、RN1在确定UE需要切换后,向DeNB1发送Handover Request消息。
步骤802~804、DeNB 1通过MME 1和MME2向DeNB2转发Handover Request消息。
步骤805、DeNB2向RN2转发Handover Request消息。
步骤806、RN2向DeNB2发送Handover Request ACK消息。
步骤807~809、DeNB2通过MME1和MME2向DeNB1转发Handover Request ACK消息。
步骤810、DeNB1向RN1转发Handover Request ACK消息。
步骤811、RN1向UE发送RRC Connection Reconfiguration消息。
步骤812、UE向RN2发送RRC Connection Reconfiguration complete消息。
步骤813、RN2向DeNB2发送Path Switch Request消息。
步骤814、DeNB2向MME2转发Path Switch Request消息。
步骤815、MME2向DeNB2发送Path SwitchACK消息。
步骤816、DeNB2向RN2转发Path Switch ACK消息。
步骤817、RN2向DeNB2发送UE context release消息。
步骤818~820、DeNB2通过MME1和MME2向DeNB1转发UE context release消息。
步骤821、DeNB1向RN1转发UE context release消息。
如果场景四采用上述的方式一,则步骤801中,RN1在确定UE需要切换后,可以为该UE配置一个AS密钥参数,然后将该AS密钥参数置于Handover Request消息;相应的,RN2还可以将收到的AS密钥参数Handover Request ACK消息中。
如果场景四采用上述的方式二,则DeNB2可以在步骤804之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知RN2。比如将AS密钥参数置于步骤816的Path Switch ACK消息中;还可以将AS密钥参数置于Bearer Setup Request消息中。如果AS密钥参数置于Bearer Setup Request消息中,RN2还可以将收到的AS密钥参数置于Bearer Setup Request ACK消息中。
如果场景四采用上述的方式三,则步骤804中,DeNB2在收到Handover Request后,为该UE配置一个AS密钥参数,然后将该AS密钥置于Handover Request中发送给RN2;相应的,RN2还可以将收到的AS密钥参数置于步骤806的Handover Request ACK消息中。
如果场景一采用上述的方式四,则RN2可以在步骤805之后,UE切换到RN2后发送数据之前的任何时刻,为该UE配置一个AS密钥参数,然后将该AS密钥参数通知DeNB2。比如将AS密钥参数置于步骤806的Handover Request ACK消息中,还可以将AS密钥参数置于步骤813的Path Switch Request消息中或步骤817的UE context release消息中。
场景五、UE从UTRAN(Universal Terrestrial Radio Access Network,通用陆地无线接入网)或GERAN(GSM EDGE Radio Access Network,GSM EDGE无线接入网)切换到E-UTRAN中的RN。
其中,场景五与场景四的区别在于Handover Request消息、Handover Request ACK消息和UE context release消息经核心网SGSN(Serving GPRSSupport Node,GPRS服务节点)和MME,其他与场景四类似,不再赘述。由于BSS(Base Station Subsystem,基站子***)或RNC(Radio Network Controller,无线网络控制器)不具备生成AS密钥参数的能力,所以场景五不能使用上述方式一,可使用方式二~四,具体可以参见图9。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
从上述实施例中可以看出:本发明实施例基站在用户终端需要切换到的目标中继节点RN设备与自身连接时,向目标RN设备发送切换请求消息;基站根据AS密钥参数为用户终端生成一对AS密钥,以及目标RN设备在收到切换请求消息后,根据AS密钥参数为用户终端生成一对AS密钥;其中基站和目标RN设备使用的AS密钥参数相同。
由于能够根据接入的用户终端,为每个用户终端分别配置一对不同的密钥,从而在LTE-A***中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。