CN104519487A - 一种pdcp计数值的处理方法和装置 - Google Patents
一种pdcp计数值的处理方法和装置 Download PDFInfo
- Publication number
- CN104519487A CN104519487A CN201310466058.0A CN201310466058A CN104519487A CN 104519487 A CN104519487 A CN 104519487A CN 201310466058 A CN201310466058 A CN 201310466058A CN 104519487 A CN104519487 A CN 104519487A
- Authority
- CN
- China
- Prior art keywords
- count value
- pdcp
- pdcp count
- carrying
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种PDCP计数值的处理方法,根据既有PDCP计数值信息,确定发生迁移的非确认模式UM承载的PDCP计数值初始值;根据所述PDCP计数值初始值,为数据包分配PDCP计数值。本发明的PDCP计数值处理技术,可以对多连接提供足够的安全保护,防止业务连接在多个节点间发生迁移时,因为现有传输机制导致的密钥泄露风险,保证了迁移过程中的安全性。
Description
技术领域
本发明涉及通信领域,具体涉及一种分组数据汇聚协议(PDCP,Packet DataConvergence Protocol)计数值的处理方法和装置。
背景技术
随着无线通信技术和标准的不断演进,移动分组业务得到了巨大的发展,单终端的数据吞吐能力不断提升。以长期演进(LTE,Long Term Evolution)***为例,在20M带宽内可以支持下行最大速率100Mbps的数据传输,后续的增强的LTE(LTE Advanced)网络中,数据的传输速率将进一步提升,甚至可以达到1Gbps。
现有LTE的用户面数据协议栈如图1所示,从核心网经用户层面GPRS隧道协议(GTP-U,GPRS Tunnelling Protocol for the User Plane)收到的下行数据,经解包后通过PDCP子层、无线链路控制(RLC,Radio Link Control)协议子层、媒体接入控制(MAC,Medium Access Control)协议子层和物理层(PHY)处理发送给用户设备(UE,User Equipment);上行数据的发送与下行正好相反。目前网络与UE之间的数据传输链路是一对一的专用链接,因此这条链路的信号质量和使用的资源大小决定了两者间的数据传输性能。如果链路使用的资源受到限制或者信号质量比较差,则UE的用户体验就会下降,这就是现在移动运营商正在面临的巨大挑战,虽然网络容量逐年扩增,但仍赶不上用户终端数量的增加和用户对数据业务量的需求。
为了满足数据业务量的增长需求,以及业务在地域上不平均的特点,运营商在部署新一代通信网络(比如LTE)的过程中,也在增加低功率节点(LPN,Low Power Node)、小小区(Small Cell)或微基站(Pico eNB)来进行热点增强。随着LPN小区的增加,网络部署环境变得更加复杂,同时也带来了一些问题。首先,因为LPN小区相对来说覆盖范围相比于宏小区(Macro Cell)要小得多,容量也相对较小,某些LPN小区可能会轻易被用户占满而导致负荷过高,从而影响用户数据的吞吐量,而另外一些LPN小区或宏小区会处在相对较低的负荷水平上,如果要平衡负荷,需要网络侧执行负荷均衡操作,但负荷均衡操作的过程往往不够灵活,尤其当小区较多时,这种灵活性的缺乏导致的负荷不均就更严重;另外,由于LPN小区数量比较多,因此UE(或称为终端)在网络内发生移动时,会导致频繁的小区间切换(Handover),从而导致频繁的数据业务中断甚至掉话等问题,这也会导致用户的数据吞吐量和用户体验的下降。同时这种频繁的切换也会导致终端与网络,尤其是核心网会受到大量信令的冲击,从而可能导致***资源拥塞甚至瘫痪。
随着将来运营商以及个人部署的LPN小区数量的增加,上述情况会愈来愈严重,因此目前不少公司和运营商都倾向于寻求一种新的增强方案,双连接(Dual Connectivity)就是其中之一,双连接下终端可以同时与两个或两个以上(所述双连接只是一个泛称,并不限制连接个数)网络节点保持连接,如图2所示,其中主节点称为主控基站(Master eNB,MeNB),一般指宏基站节点,而其它节点称为受控基站(Secondary eNB,SeNB),一般指微基站或低功率节点,UE可以同时与宏小区和LPN小区保持连接。
考虑到无线环境的变化,在实际场景中,UE同时连接的节点会发生变化,UE在不同节点上传递的数据量也会适时变化。同样地,UE在不同节点上的业务承载也是动态可变的,承载可能会在节点间发生迁移。所述迁移是指承载数据在UE同时连接的不同节点间发生重新分配,比如通过一个节点传输的某承载被转移到了另一个节点,由另一个节点继续执行该承载的数据传递。如图5A、图5B所示,以MeNB作为分流锚点的分流方式为例,承载1和承载2表示UE在MeNB上原先的业务数据,承载3表示UE在SeNB上的业务承载。某一时刻,根据MeNB的决策,承载2可能会被迁移到SeNB(如图5A),而一段时间后,承载2有可能被迁移回MeNB(如图5B)。
在应用上述双连接技术时,终端在不同节点上传递的数据都应当受到安全保护。而当终端在两个(或若干个)网络节点上同时进行数据发送,且都存在PDCP协议层实体时,按照现有协议对PDCP协议功能的描述,两个(或若干个)节点上的PDCP实体都需要承担数据的安全保功能,包括加解密和完整性保护。
按照现有协议,如图3所示,无线接入网(如eNB)与用户设备之间的接入层(Access Stratum,AS)拥有相同的安全上下文,其中包括基站密钥KeNB,根据该密钥可以派生出AS控制面的加密密钥KRRCenc和完整性保护密钥KRRCint,以及用户面的加密密钥KUPenc和完整性保护密钥KUPint。在eNB与UE之间进行数据传输时,发送端利用控制面完整性保护密钥和加密密钥,以及指定算法对控制面和用户面数据实施完整性保护和加密,而在接收端则会根据相同的密钥和算法执行反向操作(解密和完整性保护验证)。
具体的加密方法如图4A所示,发送端将PDCP计数值、承载标识、承载方向以及消息长度作为输入,利用指定加密密钥和加密算法计算出一个加密码流以对被保护的消息明文进行处理,进而得到加密后的密文。接收端会执行相反的方法进行解密。具体的完整性保护方法如图4B所示,接收端利用与发送端相同的方法对校验码做验证。其中PDCP计数(COUNT)值是指PDCP层为数据报文顺序分配的报文计数值,由两部分组成,包括超帧号(HFN,Hyperframe number)和序列号(SN,sequence number)。
在双连接场景下,如果MeNB和SeNB上都存在PDCP协议层实体,MeNB和SeNB需要对应密钥做相应的保护。但MeNB和SeNB上的密钥关系如何,目前还没有定论。但不外乎两种方法,即:
1、MeNB和SeNB使用相同的安全保护密钥,即使用同一套安全密钥;
2、MeNB和SeNB使用不同的安全密钥,即使用两套(或若干套)相互独立的密钥。
而在承载迁移过程中,上述的两种方法都会存在潜在的安全问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种PDCP计数值的处理方法和装置,以保证迁移过程中的安全性。
为达到上述目的,本发明的技术方案是这样实现的:
一种PDCP计数值的处理方法,该方法包括:
根据既有PDCP计数值信息,确定发生迁移的UM承载的PDCP计数值初始值;根据所述PDCP计数值初始值,为数据包分配PDCP计数值。
所述分配PDCP计数值的方法为:根据所述PDCP计数值初始值为所述UM承载顺序分配计数值。
所述既有PDCP计数值信息包括:
本地存储的所述承载的旧PDCP计数值;
迁移过程中的源节点发送的对应所述承载的PDCP计数值。
本地存储的所述旧PDCP计数值为:所述承载在上一次停留在本地节点过程中,本地节点为该承载曾经分配的最大PDCP计数值。
该方法还包括:
当本地节点的安全密钥信息发生变更时,清除所述本地节点存储的所述承载的旧PDCP计数值。
源节点发送的所述PDCP计数值为:源节点为所述承载分配的最大PDCP计数值;
在迁移过程中,所述源节点通过信令将所述PDCP计数值发送给本地节点,即迁移过程中的目标节点。
当所述源节点和目标节点使用的安全密钥相同时,所述源节点发送所述PDCP计数值。
所述确定发生迁移的UM承载的PDCP计数值初始值的方法包括:
如果当前节点存储了所述承载的旧PDCP计数值COUNT1,则使用比COUNT1大的计数值作为当前PDCP实体分配计数值的初始值;
如果当前节点收到了所述源节点发送的对应所述承载的PDCP计数值COUNT2,则使用比COUNT2大的计数值作为当前PDCP实体分配计数值的初始值。
一种PDCP计数值的处理装置,该装置为PDCP实体;所述PDCP实体用于:
根据既有PDCP计数值信息,确定发生迁移的非确认模式UM承载的PDCP计数值初始值;根据所述PDCP计数值初始值,为数据包分配PDCP计数值。
所述PDCP实体在分配PDCP计数值时,用于:根据所述PDCP计数值初始值为所述UM承载顺序分配计数值。
所述既有PDCP计数值信息包括:
本地存储的所述承载的旧PDCP计数值;
迁移过程中来自源节点的对应所述承载的PDCP计数值。
本地存储的所述旧PDCP计数值为:所述承载在上一次停留在所述PDCP实体所属的本地节点过程中,所述PDCP实体为该承载曾经分配的最大PDCP计数值。
所述PDCP实体还用于:
当所属的本地节点的安全密钥信息发生变更时,清除存储的所述承载的旧PDCP计数值。
来自源节点的所述PDCP计数值为:源节点为所述承载分配的最大PDCP计数值;
在迁移过程中,所述PDCP实体还用于:通过信令接收所述源节点发送的所述PDCP计数值。
所述PDCP实体在确定发生迁移的UM承载的PDCP计数值初始值时,用于:
如果所述PDCP实体所属的当前节点存储了所述承载的旧PDCP计数值COUNT1,则使用比COUNT1大的计数值作为当前PDCP实体分配计数值的初始值;
如果所述PDCP实体所属的当前节点收到了来自所述源节点的对应所述承载的PDCP计数值COUNT2,则使用比COUNT2大的计数值作为当前PDCP实体分配计数值的初始值。
所述PDCP实体包括初始值确定单元、计数值分配单元;其中,
所述初始值确定单元,用于根据既有PDCP计数值信息,确定当前的PDCP计数值初始值;
所述计数值分配单元,用于根据所述PDCP计数值初始值,为数据包分配PDCP计数值。
所述初始值确定单元和计数值分配单元,为单片机、CPU或芯片。
所述PDCP实***于网络侧和/或用户设备UE中。
所述网络侧包括主控基站MeNB和/或受控基站SeNB。
本发明的PDCP计数值处理技术,可以对多连接提供足够的安全保护,防止业务连接在多个节点间发生迁移时,因为现有传输机制导致的密钥泄露风险,保证了迁移过程中的安全性。
附图说明
图1为LTE用户面协议栈示意图;
图2为双连接场景示意图;
图3为现有网络中密钥派生原理示意图;
图4A、图4B为现有网络中保护机制原理示意图;
图5A、图5B为非确认模式承载迁移过程示意图;
图6为本发明实施例的PDCP计数值的处理简图。
具体实施方式
如图5所示,如果UE同时连接的不同节点使用不同的安全密钥,比如eNB1和eNB2分别使用由密钥KeNB_eNB1和KeNB_eNB2生成的安全上下文做保护,比如图5A中,eNB2中的承载2是由eNB1迁移过来的,承载2在eNB1上时由KeNB_eNB1相关密钥做保护,但现在由eNB2上的密钥K_eNB2派生的密钥做加解密和完整性保护。下一个时刻,eNB2上的承载2可能会被重新迁移到eNB1上,如图5B所示。此时承载2如果仍然使用eNB1上的K_eNB1保护,则可能会出现问题:如果承载2是非确认模式(Unacknowledge Mode,UM),按照现有技术中对UM承载的处理,在迁移/切换后,该承载对应的PDCP计数值会被重置。这会导致同一个计数值的包(比如计数值为0的包),被同一个密钥(比如KeNB_eNB1)加密两次。按照现有安全规则,这可能会导致密钥泄露。
如果UE同时连接的不同节点使用相同的安全密钥,同样存在上述问题,比如eNB1和eNB2都使用由密钥KeNB_eNB1生成的安全上下文做保护,则随着承载2从eNB1迁移到eNB2,如图4A所示,承载2的PDCP计数会被重置。因为两个节点上使用的密钥相同,因此也会发生同一个计数值的包(比如计数值为0的包)被同一个密钥(比如由KeNB_eNB1生成的密钥)加密两次的情况。
为了避免上述情况的发生,可以执行如图6所示的操作:根据既有PDCP计数值信息,确定发生迁移的非确认模式UM承载的PDCP计数值初始值;根据所述PDCP计数值初始值,为数据包分配PDCP计数值。
具体而言,发送端PDCP实体可以根据所述PDCP计数值初始值继续为所述UM承载顺序分配计数值。这样,在执行安全保护时就可以使用所述的PDCP计数值,以保证所述承载不会发生密钥复用的情况。
其中,所述既有PDCP计数值信息包括:
本地存储的所述承载的旧PDCP计数值;
迁移过程中的源节点发送的对应所述承载的PDCP计数值;
其中,本地存储的所述旧PDCP计数值,是指所述承载在上一次停留在本地节点过程中,本地节点为该承载曾经分配的最大PDCP计数值。在所述承载迁移出本地节点后,本地节点仍会保留所述旧PDCP计数值。进一步地,当本地节点的安全密钥信息发生变更时,本地节点存储的所述承载的旧PDCP计数值会被清除。
其中,源节点发送的所述PDCP计数值,是指源节点为所述承载分配的最大PDCP计数值。在迁移过程中,所述源节点通过信令将所述PDCP计数值发送给本地节点,即迁移过程中的目标节点。进一步的,所述源节点发送PDCP计数值给目标节点的条件可以进一步强化为:当源节点和目标节点使用的安全密钥相同时。
其中,所述确定发生迁移的UM承载的PDCP计数值初始值的方法包括:
如果当前节点存储了所述承载的旧PDCP计数值COUNT1,则使用比COUNT1大的计数值作为当前PDCP实体分配计数值的初始值;
如果当前节点收到了所述源节点发送的对应所述承载的PDCP计数值COUNT2,则使用比COUNT2大的计数值作为当前PDCP实体分配计数值的初始值。
根据上述方法,所述PDCP实体通过确保所述承载在迁移过程中不会发生计数值的重复,避免了同一个计数值的协议数据单元(PDU)(比如计数值为0的PDU)被相同密钥加密两次而造成的密钥复用,从而保证了数据传输的安全性。
进一步地,对于下行数据,所述的发送端是指网络侧,包括MeNB和SeNB,因此可能会发生MeNB与SeNB之间,或SeNB与SeNB之间的迁移,源节点和目标节点即为迁移过程中的源侧和目标侧。
对于上行数据,所述的发送端为UE。
下面结合具体实施例对本发明进行进一步的说明。
具体实施例一:如图5A、图5B所示,网络侧节点为eNB1和eNB2,两节点上的PDCP实体使用的密钥不相同。如图5A所示,其中承载2原先为eNB1上的基于非确认模式(如RLC UM)的承载,但经过网络侧策略被迁移到了eNB2上,此前承载2在eNB1上时,eNB1上的PDCP实体为承载2分配的最大PDCP计数值为COUNT_max1,在承载2被迁移出eNB1之后,eNB1仍保存承载2对应的COUNT_max1。当承载2再次从eNB2回到eNB1时,如图5B所示,eNB1的PDCP实体需要为承载2分配计数值。
步骤1,eNB1以承载2的标识(比如E-RAB ID)或其它上下文信息为索引查找本地存储的承载2的旧PDCP计数值。如果eNB1找到了旧PDCP计数值COUNT_max1,则将COUNT_max1+1作为承载2的PDCP计数值初始值;
步骤2,eNB1的PDCP实体从COUNT_max1+1开始为承载2的后续PDU数据包顺序分配PDCP计数值计数值。此时虽然PDCP实体在承载2发生迁移前后使用的密钥没有变化,但因为承载PDU的COUNT值没有发生重复,所以不会发生密钥复用,保证了传输的安全性。
进一步地,步骤1中,eNB1也可以使用任意大于COUNT_max1的值作为PDCP计数值初始值;
进一步地,步骤2中,当承载2再次因为被分流而发生迁移(比如迁移到其它eNB)时,eNB1会重新更新所保存的PDCP计数值。
进一步地,eNB1在存储承载2的旧PDCP计数值COUNT_max1的过程中,如果密钥发生了改变,则eNB1可以清除存储的旧PDCP计数值COUNT_max1。
进一步地,如果步骤1中,eNB1没有查找到本地存储的旧PDCP计数值COUNT-max1,则eNB1可以使用任意值(比如0)作为PDCP计数值初始值。
具体实施例二:如图5A、图5B所示,网络侧节点为eNB和eNB2,两节点上的PDCP实体使用相同的密钥。如图5A所示,其中承载2原先为eNB1上的基于非确认模式(如RLC UM)的承载,但经过网络侧策略需要被迁移到eNB2上,此前承载2在eNB1上时,eNB1上的PDCP实体为承载2分配的最大PDCP计数值为COUNT_max1。当承载2迁移到eNB2上时,此时eNB2需要确认承载2的PDCP计数值初始值。
步骤1,eNB1在迁移过程中,将eNB1分配的最大COUNT_max1发送给eNB2;
步骤2,eNB2在迁移过程中,收到了eNB1发送的COUNT_max1,则eNB2将COUNT_max1+1作为当前承载2的PDCP计数值初始值;
步骤3,eNB2的PDCP实体从COUNT_max1+1开始为承载2的后续PDU数据包顺序分配PDCP计数值。此时,虽然eNB1和eNB2使用相同的安全密钥,但因为承载PDU的COUNT值没有发生重复,所以不会发生密钥复用,保证了传输的安全性。
进一步地,步骤2中,eNB2也可以使用任意大于COUNT_max1的值作为PDCP计数值初始值;
进一步地,eNB1也可以将承载2的旧PDCP计数值COUNT_max1存储在本地。
具体实施例三:如图5A、图5B所示,网络侧节点为eNB1和eNB2,两节点上的PDCP实体使用相同的密钥。如图5A所示,其中承载2原先为eNB1上的基于非确认模式(如RLC UM)的承载,但经过网络侧策略需要被迁移到eNB2上,此前承载2在eNB1上时,eNB1上的PDCP实体为承载2分配的最大PDCP计数值为COUNT_max1,eNB1会将COUNT_max1存储在本地。当承载2迁移到eNB2上后,经过新的策略,承载2被重新迁移回eNB1,如图5B所示,而此前eNB2的PDCP实体为承载2分配的最大PDCP计数值为COUNT_max2。在承载2迁移到eNB1后,eNB1需要确定为承载2分配的PDCP计数值初始值。
步骤1,eNB2在迁移过程中,将eNB2为承载2分配的最大PDCP计数值COUNT_max2发送给eNB1;
步骤2,eNB1需要为承载2确定新的PDCP计数值初始值。在迁移过程中,eNB1收到了eNB2发送的COUNT_max2,则eNB1将COUNT_max2+1作为当前的承载2的PDCP计数值初始值。
进一步地,此时,eNB1也可以查找本地存储的旧PDCP计数值COUNT_max1。如果找到了,则eNB1同时有2个既有计数值信息COUNT_max1和COUNT_max2,此时eNB1确定新的PDCP计数值初始值的方法可以依照具体实现而定。比如eNB1可以选择COUNT_max2和COUNT_max1中的较大值,然后使用大于所选择的值的数值作为PDCP计数值初始值。
步骤3,eNB1的PDCP实体从已确定的PDCP计数值初始值开始为承载2的后续PDU数据包顺序分配PDCP计数值。此时,虽然eNB1和eNB2使用相同的安全密钥,但因为承载PDU的COUNT值没有发生重复,所以不会发生密钥复用,保证了传输的安全性。
进一步地,在具体实施例二和具体实施例三中,源节点向目标节点发送基于RLC UM承载的PDCP计数值的条件,也可以不局限于源节点与目标节点间的密钥必须相同,而是可以视具体实现而定。
具体实施例四:对于上行数据,发送端为UE,此时如果发生了数据分流,承载在UE连接的多个网络节点间发生迁移,则UE在迁移完成后为所述承载确定新的PDCP计数值初始值时:
UE将本地存储的旧PDCP计数值作为既有信息,将大于该旧PDCP计数值的任意数值作为PDCP计数值初始值,并顺序为后续PDU数据包分配PDCP计数值。
进一步地,UE存储旧PDCP计数值作为既有信息时,具体的记录方法可以是:
UE以连接的每个网络节点为对象,存储所述承载在UE与该网络节点连接时的PDCP计数值;或者,
UE以使用的密钥上下文为对象,存储所述承载在使用该密钥上下文时由PDCP实体分配的PDCP计数值。
综上所述可见,无论是方法还是装置,本发明的PDCP计数值处理技术,可以对多连接提供足够的安全保护,防止业务连接在多个节点间发生迁移时因为现有传输机制导致的密钥泄露风险,保证了迁移过程中的安全性。
需要说明的是,针对装置而言,PDCP实体可以包括初始值确定单元、计数值分配单元,初始值确定单元和计数值分配单元均可以是单片机、CPU或芯片等。其中,初始值确定单元能够根据既有PDCP计数值信息,确定发生迁移的非确认模式UM承载的PDCP计数值初始值;计数值分配单元能够根据所述PDCP计数值初始值,为数据包分配PDCP计数值。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (19)
1.一种分组数据汇聚协议PDCP计数值的处理方法,其特征在于,该方法包括:
根据既有PDCP计数值信息,确定发生迁移的非确认模式UM承载的PDCP计数值初始值;根据所述PDCP计数值初始值,为数据包分配PDCP计数值。
2.根据权利要求1所述的方法,其特征在于,所述分配PDCP计数值的方法为:根据所述PDCP计数值初始值为所述UM承载顺序分配计数值。
3.根据权利要求2所述的方法,其特征在于,所述既有PDCP计数值信息包括:
本地存储的所述承载的旧PDCP计数值;
迁移过程中的源节点发送的对应所述承载的PDCP计数值。
4.根据权利要求3所述的方法,其特征在于,本地存储的所述旧PDCP计数值为:所述承载在上一次停留在本地节点过程中,本地节点为该承载曾经分配的最大PDCP计数值。
5.根据权利要求4所述的方法,其特征在于,该方法还包括:
当本地节点的安全密钥信息发生变更时,清除所述本地节点存储的所述承载的旧PDCP计数值。
6.根据权利要求3所述的方法,其特征在于,
源节点发送的所述PDCP计数值为:源节点为所述承载分配的最大PDCP计数值;
在迁移过程中,所述源节点通过信令将所述PDCP计数值发送给本地节点,即迁移过程中的目标节点。
7.根据权利要求6所述的方法,其特征在于,当所述源节点和目标节点使用的安全密钥相同时,所述源节点发送所述PDCP计数值。
8.根据权利要求3至7任一项所述的方法,其特征在于,所述确定发生迁移的UM承载的PDCP计数值初始值的方法包括:
如果当前节点存储了所述承载的旧PDCP计数值COUNT1,则使用比COUNT1大的计数值作为当前PDCP实体分配计数值的初始值;
如果当前节点收到了所述源节点发送的对应所述承载的PDCP计数值COUNT2,则使用比COUNT2大的计数值作为当前PDCP实体分配计数值的初始值。
9.一种PDCP计数值的处理装置,该装置为PDCP实体;其特征在于,所述PDCP实体用于:
根据既有PDCP计数值信息,确定发生迁移的非确认模式UM承载的PDCP计数值初始值;根据所述PDCP计数值初始值,为数据包分配PDCP计数值。
10.根据权利要求9所述的装置,其特征在于,所述PDCP实体在分配PDCP计数值时,用于:根据所述PDCP计数值初始值为所述UM承载顺序分配计数值。
11.根据权利要求10所述的装置,其特征在于,所述既有PDCP计数值信息包括:
本地存储的所述承载的旧PDCP计数值;
迁移过程中来自源节点的对应所述承载的PDCP计数值。
12.根据权利要求11所述的装置,其特征在于,本地存储的所述旧PDCP计数值为:所述承载在上一次停留在所述PDCP实体所属的本地节点过程中,所述PDCP实体为该承载曾经分配的最大PDCP计数值。
13.根据权利要求12所述的装置,其特征在于,所述PDCP实体还用于:
当所属的本地节点的安全密钥信息发生变更时,清除存储的所述承载的旧PDCP计数值。
14.根据权利要求11所述的装置,其特征在于,
来自源节点的所述PDCP计数值为:源节点为所述承载分配的最大PDCP计数值;
在迁移过程中,所述PDCP实体还用于:通过信令接收所述源节点发送的所述PDCP计数值。
15.根据权利要求11至14任一项所述的装置,其特征在于,所述PDCP实体在确定发生迁移的UM承载的PDCP计数值初始值时,用于:
如果所述PDCP实体所属的当前节点存储了所述承载的旧PDCP计数值COUNT1,则使用比COUNT1大的计数值作为当前PDCP实体分配计数值的初始值;
如果所述PDCP实体所属的当前节点收到了来自所述源节点的对应所述承载的PDCP计数值COUNT2,则使用比COUNT2大的计数值作为当前PDCP实体分配计数值的初始值。
16.根据权利要求9所述的装置,其特征在于,所述PDCP实体包括初始值确定单元、计数值分配单元;其中,
所述初始值确定单元,用于根据既有PDCP计数值信息,确定当前的PDCP计数值初始值;
所述计数值分配单元,用于根据所述PDCP计数值初始值,为数据包分配PDCP计数值。
17.根据权利要求16所述的装置,其特征在于,所述初始值确定单元和计数值分配单元,为单片机、CPU或芯片。
18.根据权利要求9所述的装置,其特征在于,所述PDCP实***于网络侧和/或用户设备UE中。
19.根据权利要求18所述的装置,其特征在于,所述网络侧包括主控基站MeNB和/或受控基站SeNB。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310466058.0A CN104519487A (zh) | 2013-09-30 | 2013-09-30 | 一种pdcp计数值的处理方法和装置 |
| PCT/CN2014/079305 WO2014177107A1 (zh) | 2013-09-30 | 2014-06-05 | 一种pdcp计数值的处理方法、装置和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310466058.0A CN104519487A (zh) | 2013-09-30 | 2013-09-30 | 一种pdcp计数值的处理方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104519487A true CN104519487A (zh) | 2015-04-15 |
Family
ID=51843181
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310466058.0A Withdrawn CN104519487A (zh) | 2013-09-30 | 2013-09-30 | 一种pdcp计数值的处理方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104519487A (zh) |
| WO (1) | WO2014177107A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110943964A (zh) * | 2018-09-21 | 2020-03-31 | 华为技术有限公司 | 数据校验方法、装置及存储介质 |
| WO2021208863A1 (zh) * | 2020-04-16 | 2021-10-21 | 华为技术有限公司 | 数据传输方法及通信装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113068180A (zh) * | 2018-08-10 | 2021-07-02 | 华为技术有限公司 | 双连接通信方法及其装置、*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080125043A1 (en) * | 2006-11-29 | 2008-05-29 | Lg Electronics Inc. | Protection of access information in wireless communications |
| CN101405987A (zh) * | 2006-03-22 | 2009-04-08 | Lg电子株式会社 | 无线***的非对称加密 |
| CN101409897A (zh) * | 2008-10-31 | 2009-04-15 | 中兴通讯股份有限公司 | 计数器控制方法和装置 |
| CN101843139A (zh) * | 2007-10-30 | 2010-09-22 | 高通股份有限公司 | 移动通信网络中在基站间切换时进行hfn处理的方法和*** |
| CN102790965A (zh) * | 2011-05-18 | 2012-11-21 | 华为技术有限公司 | 切换方法、基站、用户设备和移动管理实体 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101400059B (zh) * | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| CN102740289B (zh) * | 2012-06-15 | 2015-12-02 | 电信科学技术研究院 | 一种密钥更新方法、装置及*** |
-
2013
- 2013-09-30 CN CN201310466058.0A patent/CN104519487A/zh not_active Withdrawn
-
2014
- 2014-06-05 WO PCT/CN2014/079305 patent/WO2014177107A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101405987A (zh) * | 2006-03-22 | 2009-04-08 | Lg电子株式会社 | 无线***的非对称加密 |
| US20080125043A1 (en) * | 2006-11-29 | 2008-05-29 | Lg Electronics Inc. | Protection of access information in wireless communications |
| CN101843139A (zh) * | 2007-10-30 | 2010-09-22 | 高通股份有限公司 | 移动通信网络中在基站间切换时进行hfn处理的方法和*** |
| CN101409897A (zh) * | 2008-10-31 | 2009-04-15 | 中兴通讯股份有限公司 | 计数器控制方法和装置 |
| CN102790965A (zh) * | 2011-05-18 | 2012-11-21 | 华为技术有限公司 | 切换方法、基站、用户设备和移动管理实体 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110943964A (zh) * | 2018-09-21 | 2020-03-31 | 华为技术有限公司 | 数据校验方法、装置及存储介质 |
| CN110943964B (zh) * | 2018-09-21 | 2022-07-22 | 华为技术有限公司 | 数据校验方法、装置及存储介质 |
| WO2021208863A1 (zh) * | 2020-04-16 | 2021-10-21 | 华为技术有限公司 | 数据传输方法及通信装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014177107A1 (zh) | 2014-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104219722B (zh) | 双连接无线承载的迁移处理、迁移方法及装置 | |
| CN101945384B (zh) | Rrc连接重建立时的安全密钥处理方法、装置及*** | |
| CN104378793B (zh) | 一种切换方法、主控基站及受控基站 | |
| TWI393414B (zh) | 安全交談金鑰上下文 | |
| CN107079289A (zh) | 用于双连接的安全密钥刷新 | |
| CN106063328A (zh) | 一种切换装置及方法 | |
| CN106105143A (zh) | 双连接性中的安全性密钥推导 | |
| CN109565673A (zh) | 与波束和安全增强有关的设备、方法、***、程序和记录介质 | |
| US10003967B2 (en) | Bearer release | |
| CN104105221A (zh) | 一种双连接的实现方法及基站 | |
| EP4075843A1 (en) | Method and apparatus for reporting measurement information, and method and apparatus for collecting measurement information | |
| CN102404721A (zh) | Un接口的安全保护方法、装置和基站 | |
| CN102158855A (zh) | 处理单一无线语音通话连续***递安全的方法及通讯装置 | |
| CN109729524A (zh) | 一种rrc连接恢复方法及装置 | |
| WO2008001187A2 (en) | Method for providing improved sequence number handling in networks | |
| CN104349342B (zh) | 业务管理方法和装置 | |
| US20220303763A1 (en) | Communication method, apparatus, and system | |
| CN104604271A (zh) | 一种通信方法、网络侧设备、用户设备 | |
| KR101696756B1 (ko) | 트래픽 오프로드 | |
| CN104185177B (zh) | 一种安全密钥管理方法、装置和*** | |
| CN102790965B (zh) | 切换方法、基站、用户设备和移动管理实体 | |
| CN104519487A (zh) | 一种pdcp计数值的处理方法和装置 | |
| CN111083730B (zh) | 一种数据处理方法及装置、网络设备 | |
| KR20210114994A (ko) | 접속 무선 상태에서의 모빌리티 강화 | |
| CN110167019A (zh) | 通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20150415 |