CN105027495A - 一种校验密钥的方法、基站、用户设备和核心网网元 - Google Patents

一种校验密钥的方法、基站、用户设备和核心网网元 Download PDF

Info

Publication number
CN105027495A
CN105027495A CN201480000891.9A CN201480000891A CN105027495A CN 105027495 A CN105027495 A CN 105027495A CN 201480000891 A CN201480000891 A CN 201480000891A CN 105027495 A CN105027495 A CN 105027495A
Authority
CN
China
Prior art keywords
prothetic group
user equipment
base station
key
group station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201480000891.9A
Other languages
English (en)
Other versions
CN105027495B (zh
Inventor
郭轶
戴明增
张宏平
曾清海
蔺波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN105027495A publication Critical patent/CN105027495A/zh
Application granted granted Critical
Publication of CN105027495B publication Critical patent/CN105027495B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明的实施例提供一种校验密钥的方法、基站、用户设备和核心网网元,能够校验用户设备与辅基站之间的密钥是否正确,可以避免由于密钥以及相应的算法不正确而导致的用户设备与辅基站之间的数据错误甚至业务中断。具体方案为:用户设备向基站发送校验信息,该校验信息是用户设备对用户设备和基站均已知的预设数据通过用户设备衍生的密钥、预设算法进行保护后得到的信息,其中,预设算法包括加密算法、完整性保护算法中的至少一种;基站接收到所述校验信息后根据相同的预设算法、辅基站衍生的密钥以及校验信息得到目标数据,根据预设数据、校验信息以及目标数据判断用户设备衍生的密钥与基站衍生的密钥是否相同。本发明用于用户设备与基站间检验密钥。

Description

一种检验密钥的方法、 基站、 用户设备和核心网网元 技术领域
本发明涉及通信领域, 尤其涉及一种校验密钥的方法、 基站、 用户设备和核心网网元。
背景技术
长期演进( Long Term Evolution , LTE ) ***的载波聚合大致可 以分为基站内部小区聚合, 基站间小区聚合等。 基站内部的小区聚 合由于只受一个演进基站 ( Evolution Node B , eNB ) 控制, 相对来 说比较简单。 基站间载波聚合的方案例如为, 如何使非理想回程线 路的不同基站实现双连接, 即对连接态的终端如何通过两个基站的 资源来传送数据, 以提高终端的吞吐。
基于基站间载波聚合的方案, 主基站需要将用户设备 ( User Equipment , UE ) 的承载建立到辅基站上。 但是, 上述主基站或者辅 基站无法知道 UE 衍生出来的辅基站相关的密钥是否正确, 当上述 秘钥不正确时, 会导致 UE和辅基站间的业务中断。
发明内容
本发明的实施例提供一种校验密钥的方法、 基站、 用户设备和 核心网网元, 能够校验用户设备与辅基站之间的密钥是否正确, 可 以避免由于密钥以及相应的算法不正确而导致的用户设备与辅基站 之间的业务中断。
为达到上述目的, 本发明的实施例釆用如下技术方案:
第一方面, 本发明的实施例提供一种基站, 所述基站包括: 接收单元, 用于接收用户设备发送的校验信息, 所述校验信息 为所述用户设备对预设数据通过所述用户设备衍生的密钥、 预设算 法进行保护后得到的信息, 所述预设算法包括加密算法、 完整性保 护算法中的至少一种;
获取单元, 用于根据所述基站衍生的密钥、 所述预设算法、 所 述预设数据以及所述校验信息获取目标数据;
判断单元, 用于根据所述预设数据、 所述校验信息以及所述目 标数据判断所述用户设备衍生的密钥与所述基站衍生的密钥是否相 同。
结合第一方面, 在第一种可能的实现方式中, 所述基站还包括: 重置单元, 用于若所述用户设备衍生的密钥与所述基站衍生的 密钥不相同, 则使所述用户设备重新衍生密钥或使所述用户设备删 除所述基站。
结合第一方面, 在第二种可能的实现方式中, 所述接收单元具 体用于:
通过 X2 接口从主基站接收所述基站添加完成消息, 所述基站 添加完成消息携带所述校验信息; 或
接收所述用户设备发送的媒体接入控制消息, 所述媒体接入控 制消息携带所述校验信息; 或
接收所述用户设备发送的分组包汇聚协议数据, 所述分组包汇 聚协议数据携带所述校验信息。
结合第一方面, 在第三种可能的实现方式中, 所述预设数据包 括以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。
结合第一方面, 在第四种可能的实现方式中, 所述基站为辅基 站。
第二方面, 本发明的实施例提供另一种基站, 所述基站包括: 接收单元, 用于接收用户设备发送的校验信息, 所述校验信息 为所述用户设备对预设数据通过所述用户设备衍生的密钥、 预设算 法进行保护后得到的信息, 所述预设算法包括加密算法、 完整性保 护算法中的至少一种;
获取单元, 用于根据辅基站衍生的密钥、 所述预设算法、 所述 预设数据以及所述校验信息获取目标数据;
判断单元, 用于根据所述预设数据、 所述校验信息以及所述目 标数据判断所述用户设备衍生的密钥与所述辅基站的衍生的密钥是 否相同, 得到判断结果;
发送单元, 用于将所述判断结果发送给所述辅基站。
结合第二方面, 在第一种可能的实现方式中, 所述基站还包括: 重置单元, 用于若所述用户设备衍生的密钥与所述辅基站的衍 生的密钥不相同, 则使所述用户设备删除所述辅基站或使所述用户 设备重新衍生密钥。
结合第二方面, 在第二种可能的实现方式中, 所述接收单元具 体用于:
接收所述用户设备发送的无线资源控制消息, 所述无线资源控 制消息携带所述校验信息。
结合第二方面, 在第三种可能的实现方式中, 所述预设数据包 括以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。
第三方面, 本发明的实施例提供一种用户设备, 所述用户设备 包括:
解密单元, 用于根据所述用户设备衍生的密钥、 预设算法对接 收到的下行数据进行解密;
判断单元, 用于根据解密后的数据判断所述用户设备衍生的密 钥与辅基站衍生的密钥是否相同, 包括:
获取所述解密后的数据包的互联网协议地址和端口号; 若可以识别所述互联网协议地址和所述端口号, 确定所述用户 设备衍生的密钥与所述辅基站衍生的密钥相同; 或,
若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同;
发送单元, 用于向所述辅基站发送所述判断结果。
结合第三方面, 在第一种可能的实现方式中, 所述用户设备还 包括:
通知单元, 用于若所述用户设备衍生的密钥与所述辅基站衍生 的密钥不相同, 通知主基站删除所述辅基站; 或通知所述主基站重 新添加所述辅基站; 或通过所述主基站通知所述辅基站重新触发重 配置流程; 或通过所述主基站通知所述辅基站删除所述辅基站。
第四方面, 本发明的实施例提供一种核心网网元, 所述核心网 网元包括:
接收单元, 用于接收辅基站根据所述辅基站衍生的密钥以及预 设算法对用户设备发送的上行数据进行解密后的数据;
判断单元, 用于根据所述解密后的数据判断所述用户设备衍生 的密钥与所述辅基站衍生的密钥是否相同, 包括:
获取所述解密后的数据包的互联网协议地址和端口号; 若可以识别所述互联网协议地址和所述端口号, 确定所述用户 设备衍生的密钥与所述辅基站衍生的密钥相同; 或,
若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同;
发送单元, 用于向所述辅基站发送所述判断的结果。
结合第四方面, 在第一种可能的实现方式中, 所述核心网网元 还包括:
通知单元, 用于若所述用户设备衍生的密钥与所述辅基站衍生 的密钥不相同, 通知主基站删除所述辅基站; 或通知所述主基站重 新添加所述辅基站; 或通过所述主基站通知所述辅基站重新触发重 配置流程; 或通过所述主基站通知所述辅基站删除所述辅基站。 结合第四方面的第一种可能的实现方式, 在第二种可能的实现 方式中, 所述通知单元具体用于:
向移动性管理实体发送所述密钥不相同的消息, 并由所述移动 性管理实体向所述主基站转发所述密钥不相同的消息, 以使所述主 基站收到所述密钥不相同的消息后删除所述辅基站或重新添加所述 辅基站; 或通过所述主基站通知所述辅基站重新触发重配置流程; 或通过所述主基站通知所述辅基站删除所述辅基站。
第五方面, 本发明的实施例提供一种校验密钥的方法, 所述方 法包括:
辅基站接收用户设备发送的校验信息, 所述校验信息为所述用 户设备对预设数据通过所述用户设备衍生的密钥、 预设算法进行保 护后得到的信息, 所述预设算法包括加密算法、 完整性保护算法中 的至少一种;
所述辅基站根据所述辅基站衍生的密钥、 所述预设算法、 所述 预设数据以及所述校验信息获取目标数据;
所述辅基站根据所述预设数据、 所述校验信息以及所述目标数 据判断所述用户设备衍生的密钥与所述辅基站衍生的密钥是否相 同。
结合第五方面, 在第一种可能的实现方式中, 所述方法还包括: 若所述用户设备衍生的密钥与所述辅基站衍生的密钥不相同, 则使所述用户设备重新衍生密钥或使所述用户设备删除所述辅基 站。
结合第五方面, 在第二种可能的实现方式中, 所述接收用户设 备发送的校验信息包括:
通过 X2 接口从主基站接收所述基站添加完成消息, 所述基站 添加完成消息携带所述校验信息; 或
接收所述用户设备发送的媒体接入控制消息, 所述媒体接入控 制消息携带所述校验信息; 或
接收所述用户设备发送的分组包汇聚协议数据, 所述分组包汇 聚协议数据携带所述校验信息。
结合第五方面, 在第三种可能的实现方式中, 所述预设数据包 括以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。
第六方面, 本发明的实施例提供一种校验密钥的方法, 所述方 法包括:
主基站接收用户设备发送的校验信息, 所述校验信息为所述用 户设备对预设数据通过所述用户设备衍生的密钥、 预设算法进行保 护后得到的信息, 所述预设算法包括加密算法、 完整性保护算法中 的至少一种;
所述主基站根据辅基站衍生的密钥、 所述预设算法、 所述预设 数据以及所述校验信息获取目标数据;
所述主基站根据所述预设数据、 所述校验信息以及所述目标数 据判断所述用户设备衍生的密钥与所述辅基站的衍生的密钥是否相 同, 得到判断结果;
所述主基站将所述判断结果发送给所述辅基站。
结合第六方面, 在第一种可能的实现方式中, 所述方法还包括: 若所述用户设备衍生的密钥与所述辅基站的衍生的密钥不相 同, 则使所述用户设备删除所述辅基站或使所述用户设备重新衍生 密钥。
结合第六方面, 在第二种可能的实现方式中, 所述接收用户设 备发送的校验信息包括:
接收所述用户设备发送的无线资源控制消息, 所述无线资源控 制消息携带所述校验信息。
结合第六方面, 在第三种可能的实现方式中, 所述预设数据包 括以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。
第七方面, 本发明的实施例提供一种校验密钥的方法, 所述方 法包括:
用户设备根据所述用户设备衍生的密钥、 预设算法对接收到的 下行数据进行解密;
所述用户设备根据解密后的数据判断所述用户设备衍生的密钥 与辅基站衍生的密钥是否相同;
所述用户设备向所述辅基站发送所述判断结果;
其中, 所述用户设备所述根据解密后的数据判断所述用户设备 衍生的密钥与辅基站衍生的密钥是否相同包括:
所述用户设备获取所述解密后的数据包的互联网协议地址和端 口号;
若可以识别所述互联网协议地址和所述端口号, 确定所述用户 设备衍生的密钥与所述辅基站衍生的密钥相同; 或,
若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同。
结合第七方面, 在第一种可能的实现方式中, 若所述用户设备 衍生的密钥与所述基站衍生的密钥不相同, 所述方法还包括:
通知主基站删除所述辅基站; 或
通知所述主基站重新添加所述辅基站; 或
通过所述主基站通知所述辅基站重新触发重配置流程; 或 通过所述主基站通知所述辅基站删除所述辅基站。
第八方面, 本发明的实施例提供一种校验密钥的方法, 所述方 法包括: 核心网网元接收辅基站根据所述辅基站衍生的密钥以及预设算 法对用户设备发送的上行数据进行解密后的数据;
所述核心网网元根据所述解密后的数据判断所述用户设备衍生 的密钥与所述辅基站衍生的密钥是否相同;
所述核心网网元向所述辅基站发送所述判断的结果;
其中, 所述核心网网元根据所述解密后的数据判断所述用户设 备衍生的密钥与所述辅基站衍生的密钥是否相同, 包括:
获取所述解密后的数据包的互联网协议地址和端口号;
若可以识别所述互联网协议地址和所述端口号, 确定所述用户 设备衍生的密钥与所述辅基站衍生的密钥相同; 或,
若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同。
结合第八方面, 在第一种可能的实现方式中, 若所述用户设备 衍生的密钥与所述辅基站衍生的密钥不相同, 所述方法还包括: 通知主基站删除所述辅基站; 或
通知所述主基站重新添加所述辅基站; 或
通过所述主基站通知所述辅基站重新触发重配置流程; 或 通过所述主基站通知所述辅基站删除所述辅基站。
结合第八方面的第一种可能的实现方式, 在第二种可能的实现 方式中, 所述通知主基站删除所述辅基站或通知所述主基站重新添 加所述辅基站包括:
向移动性管理实体发送所述密钥不相同的消息, 并由所述移动 性管理实体向所述主基站转发所述密钥不相同的消息, 以使所述主 基站收到所述密钥不相同的消息后删除所述辅基站或重新添加所述 辅基站。
第九方面, 提供一种基站, 所述基站包括: 通信接口、 存储器、 处理器; 所述通信接口用于与网元通信, 所述存储器用于存储计算 机代码; 所述处理器执行所述计算机代码用于:
接收用户设备发送的校验信息, 所述校验信息为所述用户设备 对预设数据通过所述用户设备衍生的密钥、 预设算法进行保护后得 到的信息, 所述预设算法包括加密算法、 完整性保护算法中的至少 一种;
根据所述基站衍生的密钥、 所述预设算法、 所述预设数据以及 所述校验信息获取目标数据;
根据所述预设数据、 所述校验信息以及所述目标数据判断所述 用户设备衍生的密钥与所述基站衍生的密钥是否相同。
结合第九方面, 在第一种可能的实现方式中, 所述处理器执行 所述计算机代码还用于:
若所述用户设备衍生的密钥与所述基站衍生的密钥不相同, 则 使所述用户设备重新衍生密钥或使所述用户设备删除所述基站。
结合第九方面, 在第二种可能的实现方式中, 所述处理器执行 所述计算机代码还用于:
通过 X2 接口从主基站接收所述基站添加完成消息, 所述基站 添加完成消息携带所述校验信息; 或
接收所述用户设备发送的媒体接入控制消息, 所述媒体接入控 制消息携带所述校验信息; 或
接收所述用户设备发送的分组包汇聚协议数据, 所述分组包汇 聚协议数据携带所述校验信息。
结合第九方面, 在第三种可能的实现方式中, 所述预设数据包 括以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。
结合第九方面, 在第四种可能的实现方式中, 所述基站为辅基 站。
第十方面, 提供一种基站, 所述基站包括: 通信接口、 存储器、 处理器; 所述通信接口用于与网元通信, 所述存储器用于存储计算 机代码; 所述处理器执行所述计算机代码用于:
接收用户设备发送的校验信息, 所述校验信息为所述用户设备 对预设数据通过所述用户设备衍生的密钥、 预设算法进行保护后得 到的信息, 所述预设算法包括加密算法、 完整性保护算法中的至少 一种;
根据辅基站衍生的密钥、 所述预设算法、 所述预设数据以及所 述校验信息获取目标数据;
根据所述预设数据、 所述校验信息以及所述目标数据判断所述 用户设备衍生的密钥与所述辅基站衍生的密钥是否相同, 得到判断 结果;
将所述判断结果发送给所述辅基站。
结合第十方面, 在第一种可能的实现方式中, 所述处理器执行 所述计算机代码还用于:
若所述用户设备衍生的密钥与所述辅基站的衍生的密钥不相 同, 则使所述用户设备删除所述辅基站或使所述用户设备重新衍生 密钥。
结合第十方面, 在第二种可能的实现方式中, 所述处理器执行 所述计算机代码还用于:
接收所述用户设备发送的无线资源控制消息, 所述无线资源控 制消息携带所述校验信息。
结合第十方面, 在第三种可能的实现方式中, 所述预设数据包 括以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。
第十一方面, 提供一种用户设备, 所述用户设备包括: 通信接 口 、 存储器、 处理器; 所述通信接口用于与网元通信, 所述存储器 用于存储计算机代码; 所述处理器执行所述计算机代码用于:
根据所述用户设备衍生的密钥、 预设算法对接收到的下行数据 进行解密;
根据解密后的数据判断所述用户设备衍生的密钥与辅基站衍生 的密钥是否相同;
向所述辅基站发送所述判断结果;
其中, 所述根据解密后的数据判断所述用户设备衍生的密钥与 辅基站衍生的密钥是否相同包括:
获取所述解密后的数据包的互联网协议地址和端口号; 若可以识别所述互联网协议地址和所述端口号, 确定所述用户 设备衍生的密钥与所述辅基站衍生的密钥相同; 或,
若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同。
结合第十一方面, 在第一种可能的实现方式中, 所述处理器执 行所述计算机代码还用于:
若所述用户设备衍生的密钥与所述辅基站衍生的密钥不相同, 通知主基站删除所述辅基站; 或通知所述主基站重新添加所述辅基 站; 或通过所述主基站通知所述辅基站重新触发重配置流程; 或通 过所述主基站通知所述辅基站删除所述辅基站。
第十二方面, 提供一种核心网网元, 所述核心网网元包括: 通 信接口、 存储器、 处理器; 所述通信接口用于与网元通信, 所述存 储器用于存储计算机代码; 所述处理器执行所述计算机代码用于: 接收辅基站根据所述辅基站衍生的密钥以及预设算法对用户设 备发送的上行数据进行解密后的数据;
根据所述解密后的数据判断所述用户设备衍生的密钥与所述辅 基站衍生的密钥是否相同;
向所述辅基站发送所述判断的结果;
其中, 所述根据所述解密后的数据判断所述用户设备衍生的密 钥与所述辅基站衍生的密钥是否相同, 包括:
获取所述解密后的数据包的互联网协议地址和端口号; 若可以识别所述互联网协议地址和所述端口号, 确定所述用户 设备衍生的密钥与所述辅基站衍生的密钥相同; 或,
若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同。
结合第十二方面, 在第一种可能的实现方式中, 所述处理器执 行所述计算机代码还用于:
若所述用户设备衍生的密钥与所述辅基站衍生的密钥不相同, 通知主基站删除所述辅基站; 或通知所述主基站重新添加所述辅基 站; 或通过所述主基站通知所述辅基站重新触发重配置流程; 或通 过所述主基站通知所述辅基站删除所述辅基站。
结合第十二方面的第一种可能的实现方式, 在第二种可能的实 现方式中, 所述处理器执行所述计算机代码还用于:
向移动性管理实体发送所述密钥不相同的消息, 并由所述移动 性管理实体向所述主基站转发所述密钥不相同的消息, 以使所述主 基站收到所述密钥不相同的消息后删除所述辅基站或重新添加所述 辅基站。
本发明的实施例提供一种校验密钥的方法、 基站、 用户设备和 核心网网元, 用户设备向基站发送校验信息, 该校验信息是用户设 备对用户设备和基站均已知的预设数据通过用户设备衍生的密钥、 预设算法进行保护后得到的信息, 其中, 预设算法包括加密算法、 完整性保护算法中的至少一种, 基站接收到所述校验信息后根据相 同的预设算法、 辅基站衍生的密钥以及校验信息得到目标数据, 根 据预设数据、 校验信息以及目标数据判断用户设备衍生的密钥与基 站衍生的密钥是否相同; 或用户设备与辅基站建立连接后, 用户设 备接收到下行数据包后使用用户设备衍生的与辅基站相关的密钥以 及相应的安全算法对下行数据包进行解密, 判断解密后得到的数据 包是否正确从而判断用户设备衍生的与辅基站相关的密钥是否与辅 基站衍生的密钥相同; 或用户设备与辅基站建立连接后, 核心网网 元接收基站根据基站衍生的密钥以及预设算法对用户设备发送的上 行数据进行解密后的数据, 判断解密后得到的数据包是否正确从而 判断用户设备衍生的与辅基站相关的密钥是否与辅基站衍生的密钥 相同。 能够校验用户设备与辅基站之间的密钥是否正确, 可以避免 由于密钥以及相应的算法不正确而导致的用户设备与辅基站之间的 数据错误甚至业务中断。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案, 下 面将对实施例或现有技术描述中所需要使用的附图作简单地介绍, 显而易见地, 下面描述中的附图仅仅是本发明的一些实施例, 对于 本领域普通技术人员来讲, 在不付出创造性劳动的前提下, 还可以 根据这些附图获得其他的附图。
图 1为本发明的实施例提供的一种基站的结构示意图一; 图 2为 LTE***衍生密钥的流程示意图;
图 3为本发明的实施例提供的一种基站的结构示意图二; 图 4为本发明的实施例提供的另一种基站的结构示意图一; 图 5为本发明的实施例提供的另一种基站的结构示意图二; 图 6为本发明的实施例提供的一种用户设备的结构示意图一 图 7为本发明的实施例提供的一种用户设备的结构示意图二 图 8为本发明的实施例提供的一种核心网元的结构示意图一 图 9为本发明的实施例提供的一种核心网元的结构示意图二 10 为本发明的实施例提供的一种校验密钥的方法的流程示
为本发明的实施例提供的一种校验密钥的方法的流程示
12 为本发明的实施例提供的一种校验密钥的方法的流程示
为本发明的实施例提供的一种校验密钥的方法的流程示 意图四;
图 14 为本发明的实施例提供的一种校验密钥的方法的流程示 意图五;
图 15 为本发明的实施例提供的一种校验密钥的方法的流程示 意图六;
图 16 为本发明的实施例提供的一种校验密钥的方法的流程示 意图七;
图 17 为本发明的实施例提供的一种校验密钥的方法的流程示 意图八;
图 18为本发明的实施例提供的又一种基站的结构示意图; 图 19为本发明的实施例提供的再一种基站的结构示意图; 图 20为本发明的实施例提供的另一种用户设备的结构示意图; 图 21 为本发明的实施例提供的另一种核心网网元的结构示意 图。
具体实施方式
下面将结合本发明实施例中的附图, 对本发明实施例中的技术 方案进行清楚、 完整地描述, 显然, 所描述的实施例仅仅是本发明 一部分实施例, 而不是全部的实施例。 基于本发明中的实施例, 本 领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例, 都属于本发明保护的范围。
本发明的实施例提供一种基站 20 , 该基站 20可以作为辅基站, 如图 1 所示, 该辅基站 20 包括: 接收单元 21、 获取单元 22以及判 断单元 23。
其中, 接收单元 21 , 用于接收用户设备发送的校验信息, 校验 信息为用户设备对预设数据通过用户设备衍生的密钥、 预设算法进 行保护后得到的信息, 预设算法包括加密算法、 完整性保护算法中 的至少一种。
其中, 预设数据可以是以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。
为方便描述, 以下对 LTE***中安全密钥的衍生关系做简单说 明, 其中, LTE*** UE侧和演进分组***( Evolved Packet System , EPS )侧的密钥相互独立, 两侧密钥衍生流程相同, 均釆用密钥派生 函数 ( Key Derivation Functions , KDF ) 逐级 4汙生, ¾口图 2所示:
K 是存储在全球用户识别卡 ( Universal Subscriber Identity Module , USIM )和认证中心(Authentication Center , AuC) 里的密钥, 是永久固定密钥, 也是所有密钥生成算法的基础。
CK是由 K衍生的用于加密的密钥, IK是 K衍生的用于完整性 保护的密钥。 CK和 IK均位于 UE和归属地寄存器( Home Subscriber Server, HSS ) 中。
KASME是一个由 UE和 HS S使用 CK和 IK衍生的密钥。
KeNB是由 KASME 衍生或由 UE和 eNB衍生的, 用于衍生接入层 ( Access Stratum , AS ) 的各种密钥。
下一跳 ( Next Hop , NH ) 是 UE 和移动性管理实体 ( Mobility Management Entity , MME ) 通过 KASME ^i汙生得到的密钥, 是 eNB密 钥的一种。
用户面业务的密钥:
KUPenc UE和 eNB通过 KeNB 以及加密算法衍生得到的, 用于 保护用户面业务数据;
KUPint是 UE和 eNB通过 KeNB以及完整性保护算法衍生得到的, 用于保护中继节点( Relay Node, RN )和宿主基站(Donor eNB,DeNB) 间的用户数据。
无线资源控制协议 ( Radio Resource Control , RRC ) 相关的密 钥:
KRRCint 是 UE和 eNB通过 KeNB以及完整性保护算法衍生得到 的, 用于保护 RRC消息;
KRRCenc是 UE和 eNB通过 KeNB 以及加密算法衍生得到的, 用 于保护 RRC消息。
KNA Senc是 UE和 MME根据 KASME衍生的密钥,用于对非接入 层 (Non-Access-Stratum , NAS ) 流使用加密算法进行保护。
KNA S int是 UE和 MME根据 KASME衍生的密钥, 用于对 NAS流 使用完整性保护算法进行保护。
具体的, 用户设备衍生的与辅基站相关的密钥可以包括下面至 少一种: KeNB、 KuP enc、 KuP int。、 KRRCint、 RRCenc。
示例性的, 用户设备对辅基站下的小区标识使用加密算法以及 KUPenc进行保护后得到校验信息。
可选的, 接收单元 21可以具体用于:
通过 X2 接口从主基站接收基站添加完成消息, 基站添加完成 消息携带校验信息; 或
接收用户设备发送的媒体接入控制消息, 媒体接入控制消息携 带校验信息; 或
接收用户设备发送的分组包汇聚协议数据, 分组包汇聚协议数 据携带校验信息。
示例性的, 校验信息是可以包含在 UE 向主基站发送的无线资 源连接重配置完成消息 ( RRC Connection Reconfiguration Complete Message ) 中, 主基站接收到该校验信息后向辅基站发送基站添加完 成消息中携带该校验信息。
具体的, 在无线资源连接重配置完成消息中携带校验信息可以 通过增加安全确认信息 ( securityConfirmation ) 来实现。 示例性的, 可以通过以下代码实现:
RRC Connection Reconfiguration Complete Message
-- ASN 1 START
RRCConnectionReconfigurationComplete:: rrc-Transactionldentifier RRC-Transactionldentifier criticalExtensions CHOICE {
rrcConnectionReconfigurationComplete-r8
RRCConnectionReconfigurationComplete-r8-IEs,
criticalExtensionsFuture SEQUENCE { }
}
}
RRCConnectionReconfigurationComplete-r8-IEs : := SEQUENCE
{
nonCriticalExtension
RRCConnectionReconfigurationComplete-v8aO-IEs OPTIONAL
}
RRCConnectionReconfigurationComplete-v8aO-IEs : :=
SEQUENCE {
lateNonCriticalExtension OCTET STRING
OPTIONAL,
nonCriticalExtension
RRCConnectionReconfigurationComplete-v l 020-IEs OPTIONAL }
RRCConnectionReconfigurationComplete-v l 020-IEs : :=
SEQUENCE {
rlf-InfoAvailable-r l O ENUMERATED {true }
OPTIONAL,
logMeasAvailable-rl O ENUMERATED {true }
OPTIONAL, nonCriticalExtension
RRCConnectionReconfigurationComplete-v l l 30-IEs OPTIONAL
}
RRCConnectionReconfigurationComplete-v l 130-IEs :: =
SEQUENCE {
connEstFaillnfoAvailable-r l 1 ENUMERATED {true }
OPTIONAL,
nonCriticalExtension
RRCConnectionReconfigurationComplete-v l 2xx-IEs
OPTIONAL
}
RRCConnectionReconfigurationComplete-v l 2xx-IEs : :=
SEQUENCE {
securityConfirmation OCTET STRING
OPTIONAL,
nonCriticalExtension SEQUENCE { }
OPTIONAL
}
- ASN 1 STOP
其中 securityConfirmation可以为字节流 ( OCTET STRING ) 或 者位串(BIT STRING (SIZE (xx))的形式等。
示例性的, 选择 securityConfirmation中的预设数据可以通过以 下代码实现: security Confirmationlnput: := SEQUENCE { cellldentity Cellldentity: physCellld PhysCellld c-RNTI C-RNTI
- ASN 1 STOP
其 中 UE 产 生 securityConfirmation , 可 以 是对 security Confirmationlnput 使用完整性保护算法以及完整性保护算法的密钥 计算的完整性保护结果; 也可以是对 securityConfirmationlnput使用 加密算法以及加密算法的密钥计算的加密的结果; 或者是两者的组 合。
4叚设 securityConfirmation是 UE使用力口密算法和^汙生的与辅基 站有关的 KUPenc计算的结果,主基站通过 X2接口向辅基站发送基站 添力口完成消息, 其中基站添力口完成消息携带 securityConfirmation , 辅基 占接 4欠 i'J securityConfirmation。
或者, 示例性的, 如果校验信息是包含在用户设备发送的媒体 接入控制 ( Medium Access Control , MAC ) 消息中, 具体可以通过 在 MAC消息中增力口 securityConfirmation来实现。
例如,可以新引入一个逻辑信道标识( Logical Channel Identify , LCID ) 值专门表示是 securityConfirmation , 比如使用 0101 1 , 其中 L表示 securityConfirmation的长度,这里面 ^口果 securityConfirmation 是固定长度的, 可以没有 L , 直接放入 securityConfirmation。 也可 以重用 目前的 LCID 值, 将 securityConfirmation 加到现有的 MAC 消息中或者还可以由 UE直接将 securityConfirmation 当成数据传输 或者通过物理层传输。
示例性的, 选择 securityConfirmation中的预设数据可以通过以 下代码实现:
securityConfirmationlnput: := SEQUENCE { cellldentity Cellldentity,
physCellld PhysCellld, c-RNTI C-RNTI
- ASN 1 STOP
其 中 UE 产 生 securityConfirmation , 可 以 是 对 securityConfirmationlnput使用完整性保护算法以及完整性保护算法 的 密 钥 计 算 的 完 整 性 保 护 结 果 ; 也 可 以 是 对 securityConfirmationlnput使用力口密算法以及力口密算法的密钥计算的 加密的结果; 或者是两者的组合。
假设 securityConfirmation是 UE使用完整性保护算法和衍生的 与辅基站有关的 KUPint或者 KRRCint计算的结果, securityConfirmation 是添加到 UE 发送给辅基站的 MAC 消息中的, 辅基站接收到 securityConfirmation。
或者, 校验信息还可以包含在用户设备发送的分组包汇聚协议 ( Packet Data Convergence Protocol , PDCP ) 数据中。
示例性的, 校验信息可以是 securityConfirmation , 预设数据为 securityConfirmationlnput , UE产生 securityConfirmation , 可以、是 对 securityConfirmationlnput使用完整性保护算法以及完整性保护算 法 的 密 钥 计 算 的 完 整 性 保 护 结 果 ; 也 可 以 是 对 securityConfirmationlnput使用力口密算法以及力口密算法的密钥计算的 加密的结果; 或者是两者的组合。
示例性的, 选择 securityConfirmation中的预设数据可以通过以 下代码实现:
securityConfirmationlnput: := SEQUENCE { cellldentity Cellldentity,
physCellld PhysCellld,
c-RNTI C-RNTI
}
- ASN 1 STOP
4叚设 securityConfirmation是 UE使用力口密算法和^汙生的与辅基 站有关的 KUPenc计算的结果,主基站通过 X2接口向辅基站发送基站 添力口完成消息, 其中基站添力口完成消息携带 securityConfirmation , 辅基 占接 4欠 i'J securityConfirmation。
获取单元 22 , 用于根据基站衍生的密钥、 预设算法、 预设数据 以及校验信息获取目标数据。
示例性的, 假设校验信息是 securityConfirmation , 预设数据为 securityConfirmationlnput ,该校验信息是 UE使用力口密算法和衍生的 与辅基站有关的 KUPenc对 securityConfirmationlnput 计算的结果, securityConfirmation 是添加到主基站发送给辅基站的基站添加完成 消息中, 辅基站接收到 securityConfirmation后根据加密算法和自身 衍生的 KUPen 对 securityConfirmation 进行解密计算得到新的 SecurityConfirmationlnpu
或者, 示例性的, 假设校验信息是 securityConfirmation , 预设 数据为 securityConfirmationlnput , 该校验信息是 UE使用完整性保 护 算 法 和 衍 生 的 与 辅 基 站 有 关 的 KUPint 或 者 KRRCint 对 securityConfirmationlnput计算的结果, securityConfirmation是添力口 到 UE 发 送 给辅 基 站 的 MAC 消 息 中 , 辅 基 站 接 收 到 securityConfirmation 后根据完整性保护算法和自身衍生的 KUPint或 者 KRRCint对自身保存的 securityConfirmationlnput进行完整性保护计 算得到新的 securityConfirmation。
或者, 示例性的, 假设校验信息是 securityConfirmation , 预设 数据为 securityConfirmationlnput , 该校验信息 UE使用力。密算法和 衍生的与辅基站有关的 KUPenc对 securityConfirmationlnput计算的结 果, securityConfirmation添加到 UE发送给辅基站的 PDCP数据中, 辅基站接收到 securityConfirmation 后根据加密算法和自身衍生的 KUPenc 对 校 验 信 息 进 行 解 密 计 算 得 到 新 的 SecurityConfirmationlnpu
判断单元 23 , 用于根据预设数据、 校验信息以及目标数据判断 用户设备衍生的密钥与基站的衍生的密钥是否相同。 示例性的, 假设校验信息是 securityConfirmation , 预设数据为 securityConfirmationlnput ,该校验信息是 UE使用完整性保护算法和 衍生的与辅基站有关的 KUPint对 securityConfirmationlnput计算的结 果, securityConfirmationlnput是 UE和辅基站均存储的一个辅基站 下的小区标识数据, 辅基站接收到 securityConfirmation后根据完整 性保护算法和自身衍生的 KUPint对 securityConfirmationlnput进行完 整 性 保 护 计 算 得 到 新 的 securityConfirmation , 判 断 新 的 securityConfirmation与接收到的 securityConfirmation是否相同 , 如 果相同则说明 UE衍生的与辅基站有关的 11111与辅基站自身衍生的 KUPin S同, 否则不相同。
或者, 示例性的, 假设校验信息是 securityConfirmation , 预设 数据为 securityConfirmationlnput , 该校验信息是 UE使用完整性保 护算法和衍生的与辅基站有关的 KRRCint对 securityConfirmationlnput 计算的结果, securityConfirmationlnput是 UE和辅基站均存储的一 个辅基站下的小区标识数据, 辅基站接收到 securityConfirmation后 根 据 完 整 性 保 护 算 法 和 自 身 衍 生 的 KRRCint 对 securityConfirmationlnput 进 行 完 整 性 保 护 计 算 得 到 新 的 securityConfirmation , 判断新的 securityConfirmation 与接^ L到的 securityConfirmation 是否相同, 如果相同则说明 UE 衍生的与辅基 站有关的 KRRCint与辅基站自身衍生的 KRRCint相同, 否则不相同。
或者, 示例性的, 假设校验信息是 securityConfirmation , 预设 数据为 securityConfirmationlnput , 该校验信息是 UE使用完整性保 护算法和衍生的与辅基站有关的 KUPint对 securityConfirmationlnput 完整性保护后得到中间变量 securityConfirmationTemp , 再使用加密 算法和衍生的与辅基站有关的 KUPenc securityConfirmationTem 力口 密后得 j securityConfirmation。 辅基 占接 ^L ^j securityConfirmation 后 , 首 先 辅 基 站 使 用 加 密 算 法 和 自 身 衍 生 的 KUPenc 对 securityConfirmation解密后得 i'j securityConfirmationTem , 再对自 身存储的 securityConfirmationlnput 使用完整性保护算法和衍生的 KUPint 完整性保护后得到新的 securityConfirmationTemp , 判断新的 securityConfirmationTem 与接 ^ $]] security Confirmation解密后得 到的 securityConfirmationTemp是否相同, 如果相同贝1 J说明 UE ^ [汙生 的与辅基站有关的 KUPenc、 KUPint与辅基站自身衍生的 KUPenc、 KUPint 对应相同, 否则不相同。
可选的, 如图 3所示, 该辅基站 20还包括:
重置单元 24 , 用于若用户设备衍生的密钥与基站的衍生的密钥 不相同, 则使用户设备重新衍生密钥或使用户设备删除该基站。
示例性的,假设根据判断单元 23判断的结果为进行完整性保护 后得 i'J 新 security Confirmation与接 ^ i'J security Confirmation 不同, 则说明 UE衍生的与辅基站有关的 1^1111与辅基站自身衍生的 1^1111不相同, 那么, 辅基站可以通知 UE删除该辅基站或者使 UE 重新衍生与该辅基站相关的密钥。
本发明的实施例提供一种基站,接收用户设备发送的校验信息, 校验信息为用户设备对预设数据通过用户设备衍生的密钥、 预设算 法进行保护后得到的信息, 预设算法包括加密算法、 完整性保护算 法中的至少一种; 根据基站衍生的密钥、 预设算法、 预设数据以及 校验信息获取目标数据; 根据预设数据、 校验信息以及目标数据判 断用户设备衍生的密钥与基站衍生的密钥是否相同。 能够校验用户 设备与辅基站之间的密钥是否正确, 可以避免由于密钥以及相应的 算法不正确而导致的用户设备与辅基站之间的业务中断。
本发明的实施例还提供一种基站 30 , 该基站 30 可以作为主基 站, 如图 4所示, 该主基站 30 包括: 接收单元 3 1、 获取单元 32、 判断单元 33和发送单元 34。
接收单元 3 1 , 用于接收用户设备发送的校验信息, 校验信息为 用户设备对预设数据通过用户设备衍生的密钥、 预设算法进行保护 后得到的信息, 预设算法包括加密算法、 完整性保护算法中的至少 一种。
具体的, 主基站接收 UE 发送的包含校验信息的无线资源控制 消息。 其中, 示例性的, 无线资源控制消息可以是 RRC Connection Reconfiguration Complete Message , 其中包含有校验信息。
可选的, 预设数据包括以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。
获取单元 32 , 用于根据辅基站衍生的密钥、 预设算法、 预设数 据以及校验信息获取目标数据。
示例性的, 主基站根据加密算法和辅基站衍生的 KUPenc (此处 的 KUPenc是由主基站使用与辅基站相同的密钥衍生过程得到 ) 来对 从接收单元 3 1接收到的校验信息进行解密获得目标数据。
判断单元 33 , 用于根据预设数据、 校验信息以及目标数据判断 用户设备衍生的密钥与辅基站的衍生的密钥是否相同, 得到判断结 果。
示例性的, 假设目标数据是 UE 对预设数据使用用户设备衍生 的 KUPenc与加密算法保护后的数据, 目标数据为主基站根据加密算 法和辅基站衍生的 KUPem; (此处的 KUPem;是由主基站使用与辅基站相 同的密钥衍生过程得到 )来对从接收单元 3 1接收到的校验信息进行 解密得到的数据, 主基站判断目标数据与预设数据是否相同得到判 断结果。
发送单元 34 , 用于将判断结果发送给辅基站。
示例性的, 主基站将判断结果通过 X2接口通知辅基站。
可选的, 如图 5所示, 该主基站 30还包括:
重置单元 35 , 用于若用户设备衍生的密钥与辅基站的衍生的密 钥不相同, 则使用户设备删除辅基站或使用户设备重新衍生密钥。
本发明的实施例提供一种基站,接收用户设备发送的校验信息, 校验信息为用户设备对预设数据通过用户设备衍生的密钥、 预设算 法进行保护后得到的信息, 预设算法包括加密算法、 完整性保护算 法中的至少一种; 根据辅基站衍生的密钥、 预设算法、 预设数据以 及校验信息获取目标数据; 根据预设数据、 校验信息以及目标数据 判断用户设备衍生的密钥与辅基站衍生的密钥是否相同, 得到判断 结果; 将判断结果发送给辅基站。 能够校验用户设备与辅基站之间 的密钥是否正确, 可以避免由于密钥以及相应的算法不正确而导致 的用户设备与辅基站之间的业务中断。
本发明的实施例还提供一种用户设备 40 , 如图 6所示, 该用户 设备 40包括: 解密单元 41、 判断单元 42和发送单元 43。
解密单元 41 , 用于根据用户设备衍生的密钥、 预设算法对接收 到的下行数据进行解密。
示例性的, 其中, 预设算法可以是加密算法, UE与辅基站之间 已经建立连接, UE根据自身衍生的密钥、 加密算法对从网络侧接收 到的加密的下行数据进行解密, 然后得到互联网协议 ( Internet Protocol , IP ) 才艮文。
判断单元 42 , 用于根据解密后的数据判断用户设备衍生的密钥 与辅基站衍生的密钥是否相同。
具体的, 判断单元 42用于:
获取解密后的数据包的互联网协议地址和端口号;
识别数据包的互联网协议地址和端口号;
若可以识别互联网协议地址和端口号, 确定用户设备衍生的密 钥与辅基站衍生的密钥相同; 或,
若无法识别互联网协议地址和 /或端口号, 确定用户设备衍生的 密钥与辅基站衍生的密钥不相同。
示例性的, 判断单元 42从解密单元 41接收到 IP报文, 获取该 IP 文的 IP地址和端口号, 若可以识别该 IP地址与端口号则将该 IP报文发给对应的应用, 同时也说明 UE衍生的与辅基站相关的密 钥和辅基站衍生的相关的密钥是相同的; 或,
若无法识别该 IP地址和 /或端口号则 IP报文是错误包, 同时也 说明 UE 衍生的与辅基站相关的密钥和辅基站衍生的相关的密钥不 相同。
发送单元 43 , 用于向辅基站发送判断结果。
示例性的, UE通过主基站向辅基站发送判断单元 42得到的判 断结果。
可选的, 如图 7所示, 该用户设备 40还包括:
通知单元 44 , 用于若用户设备衍生的密钥与辅基站衍生的密钥 不相同, 通知主基站删除该辅基站; 或通知主基站重新添加该辅基 站; 或通过主基站通知该基站辅基站重新触发重配置流程; 或通过 主基站通知该辅基站删除该辅基站。
示例性的, 如果 UE 衍生的与辅基站相关的密钥与辅基站衍生 的相关的密钥不相同, 用户设备 40可以通知主基站添加的辅基站有 问题, 同时可以指示辅基站的哪个承载出了问题, 即在指示中携带 承载标识, 主基站确定该辅基站有问题后删除该辅基站或者使主基 站重新添加该辅基站; 或者用户设备 40还可以通过主基站通知该辅 基站重新触发重新配置与 UE的连接; 或用户设备 40通过主基站通 知该辅基站删除该辅基站。
本发明的实施例提供一种用户设备,根据用户设备衍生的密钥、 预设算法对接收到的下行数据进行解密; 根据解密后的数据判断用 户设备衍生的密钥与辅基站衍生的密钥是否相同; 向辅基站发送判 断结果。 能够校验用户设备与辅基站之间的密钥是否正确, 可以避 免由于密钥以及相应的算法不正确而导致的用户设备与辅基站之间 的业务中断。
本发明的实施例提供一种核心网网元 50 , 如图 8所示, 该核心 网网元 50 包括:
接收单元 5 1、 判断单元 52和发送单元 53。
接收单元 5 1 , 用于接收辅基站根据辅基站衍生的密钥以及预设 算法对用户设备发送的上行数据进行解密后的数据。
示例性的, 其中, 预设数据可以是加密算法, UE与辅基站之间 已经建立连接, 辅基站根据自身衍生的密钥、 加密算法对从 UE 接 收到的加密的上行数据进行解密得到互联网协议( Internet Protocol , IP )报文,将 IP报文发送给核心网网元则核心网网元接收到 IP报文。
判断单元 52 , 用于根据解密后的数据判断用户设备衍生的密钥 与辅基站衍生的密钥是否相同。
具体的, 判断单元 52用于:
获取解密后的数据包的互联网协议地址和端口号;
识别数据包的互联网协议地址和端口号;
若可以识别互联网协议地址和端口号则确定用户设备衍生的密 钥与辅基站衍生的密钥相同; 或,
若无法识别互联网协议地址和 /或端口号则确定用户设备衍生 的密钥与辅基站衍生的密钥不相同。
示例性的, 判断单元 52从接收单元 51接收到 IP报文, 获取该 IP 文的 IP地址和端口号, 若可以识别该 IP地址与端口号则该 IP 报文正确, 同时也说明 UE 衍生的与辅基站相关的密钥和辅基站衍 生的相关的密钥是相同的; 或,
若无法识别该 IP地址和 /或端口号则 IP报文是错误包, 同时也 说明 UE 衍生的与辅基站相关的密钥和辅基站衍生的相关的密钥不 相同。
可选的, 如图 9所示, 该核心网网元 50还包括:
通知单元 54 , 用于若用户设备衍生的密钥与辅基站衍生的密钥 不相同, 核心网网元通知主基站删除该辅基站; 或核心网网元通知 主基站重新添加该辅基站; 或核心网网元通过主基站通知该辅基站 重新触发重配置流程; 或核心网网元通过主基站通知该辅基站删除 该辅基站。
可选的, 通知单元 54可以具体用于:
向移动性管理实体发送密钥不相同的消息, 并由移动性管理实 体向主基站转发该密钥不相同的消息, 以使主基站收到该密钥不相 同得到消息后删除该辅基站或重新添加该辅基站; 或通过主基站通 知该辅基站重新触发重配置流程; 或通过主基站通知该辅基站删除 该辅基站。
示例性的, 如果 UE 衍生的与辅基站相关的密钥与辅基站衍生 的相关的密钥不相同, 核心网网元 50可以通过 MME通知主基站或 直接通知主基站添加的辅基站有问题, 同时可以指示辅基站的哪个 承载出了问题, 即在指示中携带承载标识, 主基站确定该辅基站有 问题后删除该辅基站或者使主基站重新添加该辅基站; 或者核心网 网元 50还可以通知该辅基站重新触发重新配置与 UE的连接; 或核 心网网元 50通过主基站通知该辅基站删除该辅基站。
本发明的实施例提供一种核心网网元, 接收基站根据基站衍生 的密钥以及预设算法对用户设备发送的上行数据进行解密后的数 据; 根据解密后的数据判断用户设备衍生的密钥与辅基站衍生的密 钥是否相同; 向辅基站发送判断的结果。 能够校验用户设备与辅基 站之间的密钥是否正确, 可以避免由于密钥以及相应的算法不正确 而导致的用户设备与辅基站之间的业务中断。
本发明的实施例提供一种校验密钥的方法, 基于辅基站, 如图 10所示, 该方法包括:
5 101、 辅基站接收用户设备发送的校验信息。
其中, 校验信息为用户设备对预设数据通过用户设备衍生的密 钥、 预设算法进行保护后得到的信息, 预设算法包括加密算法、 完 整性保护算法中的至少一种。
5 102、 辅基站根据辅基站自身衍生的密钥、 预设算法、 预设数 据以及校验信息获取目标数据。
5 103、 辅基站根据预设数据、 校验信息以及目标数据判断用户 设备衍生的密钥与辅基站衍生的密钥是否相同。
本发明的实施例提供一种校验密钥的方法, 辅基站接收用户设 备发送的校验信息, 校验信息为用户设备对预设数据通过用户设备 衍生的密钥、 预设算法进行保护后得到的信息, 预设算法包括加密 算法、 完整性保护算法中的至少一种; 辅基站根据辅基站自身衍生 的密钥、 预设算法、 预设数据以及校验信息获取目标数据; 辅基站 根据预设数据、 校验信息以及目标数据判断用户设备衍生的密钥与 辅基站自身衍生的密钥是否相同。 能够校验用户设备与辅基站之间 的密钥是否正确, 可以避免由于密钥以及相应的算法不正确而导致 的用户设备与辅基站之间的业务中断。
为了使本领域技术人员能够更清楚地理解本发明实施例提供的 技术方案, 下面通过具体的实施例, 对本发明的实施例提供基于辅 基站的校验密钥的方法进行详细说明, 如图 1 1 所示, 该方法包括:
S201、 辅基站接收用户设备发送的校验信息。
其中, 校验信息为用户设备对预设数据通过用户设备衍生的密 钥、 加密算法和 /或完整性保护算法进行保护后得到的信息。
预设数据包括以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。
具体的, 辅基站通过 X2接口从主基站接收基站添加完成消息 , 基站添加完成消息携带校验信息; 或
辅基站接收用户设备发送的媒体接入控制消息, 媒体接入控制 消息携带校验信息; 或
接收用户设备发送的分组包汇聚协议数据, 分组包汇聚协议数 据携带所述校验信息。
示例性的, 校验信息是可以包含在 UE 向主基站发送的 RRC Connection Reconfiguration Complete Message中 , 主基站接收到该校验 信息后向辅基站发送基站添加完成消息中携带该校验信息。
具体的, 在无线资源连接重配置完成消息中携带校验信息可以 通过增力口 securityConfirmation来实现。 示例性的, 可以通过以下代 码实现: RRC Connection Reconfiguration Complete Message
- ASN 1 START
RRCConnectionReconfigurationComplete : := SEQUENCE { rrc-Transactionldentifier RRC-Transactionldentifier, criticalExtensions CHOICE {
rrcConnectionReconfigurationComplete-r8
RRCConnectionReconfigurationComplete-r8-IEs,
criticalExtensionsFuture SEQUENCE { }
}
}
RRCConnectionReconfigurationComplete-r8-IEs : := SEQUENCE
{
nonCriticalExtension
RRCConnectionReconfigurationComplete-v8aO-IEs OPTIONAL
}
RRCConnectionReconfigurationComplete-v8aO-IEs : :=
SEQUENCE {
lateNonCriticalExtension OCTET STRING
OPTIONAL,
nonCriticalExtension
RRCConnectionReconfigurationComplete-v l 020-IEs OPTIONAL }
RRCConnectionReconfigurationComplete-v l 020-IEs : :=
SEQUENCE { rlf-InfoAvailable-rlO ENUMERATED {true}
OPTIONAL,
logMeasAvailable-rlO ENUMERATED {true}
OPTIONAL,
nonCriticalExtension
RRCConnectionReconfigurationComplete-vll 30-IEs OPTIONAL
}
RRCConnectionReconfigurationComplete-vl 130-IEs : :=
SEQUENCE {
connEstFaillnfoAvailable-rl 1 ENUMERATED {true}
OPTIONAL,
nonCriticalExtension
RRCConnectionReconfigurationComplete-vl2xx-IEs
OPTIONAL
}
RRCConnectionReconfigurationComplete-vl2xx-IEs : SEQUENCE {
securityConfirmation OCTET STRING
OPTIONAL,
nonCriticalExtension SEQUENCE {}
OPTIONAL
}
- ASNISTOP
其中 Security Confirmation 可以为 OCTET STRING 或者 BIT STRING (SIZE (xx)的形式等。
示例性的, 选择 securityConfirmation中的预设数据可以通过以 下代码实现: SEQUENCE { cellldentity Cellldentity: physCellld PhysCellld c-RNTI C-RNTI
- ASN 1 STOP
其 中 UE 产 生 securityConfirmation , 可 以 是 对 securityConfirmationlnput使用完整性保护算法以及完整性保护算法 的 密 钥 计 算 的 完 整 性 保 护 结 果 ; 也 可 以 是 对 securityConfirmationlnput使用力口密算法以及力口密算法的密钥计算的 加密的结果; 或者是两者的组合。
4叚设 securityConfirmation是 UE使用力口密算法和^汙生的与辅基 站有关的 KUPenc计算的结果,主基站通过 X2接口向辅基站发送基站 添力口完成消息, 其中基站添力口完成消息携带 securityConfirmation , 辅基 占接 4欠 i'J securityConfirmation。
或者, 示例性的, 如果校验信息是包含在用户设备发送的 MAC 消息中, 具体可以通过在 MAC 消息中增力口 securityConfirmation来 实现。
例 如 , 可 以 新 引 入 一 个 LCID 值 专 门 表 示 是 securityConfirmation , 比 如 使 用 0101 1 , 其 中 L 表 示 securityConfirmation的长度, 这里面 ^口果 securityConfirmation是固 定长度的, 可以没有 L , 直接放入 securityConfirmation。 也可以重 用 目前的 LCID值,将 securityConfirmation加到现有的 MAC消息中 或者还可以由 UE直接将 securityConfirmation 当成数据传输或者通 过物理层传输。 示例性的, 选择 securityConfirmation中的预设数据可以通过以 下代码实现:
securityConfirmationlnput:: SEQUENCE { cellldentity Cellldentity,
physCellld PhysCellld
c-RNTI C-RNTI
- ASN 1 STOP
其 中 UE 产 生 securityConfirmation , 可 以 是 对 securityConfirmationlnput使用完整性保护算法以及完整性保护算法 的 密 钥 计 算 的 完 整 性 保 护 结 果 ; 也 可 以 是 对 securityConfirmationlnput使用力口密算法以及力口密算法的密钥计算的 加密的结果; 或者是两者的组合。
假设 securityConfirmation是 UE使用完整性保护算法和衍生的 与辅基站有关的 KUPint或者 KRRCint计算的结果, securityConfirmation 是添加到 UE 发送给辅基站的 MAC 消息中的, 辅基站接收到 securityConfirmation。
或者, 校验信息还可以包含在用户设备发送的分组包汇聚协议 ( Packet Data Convergence Protocol , PDCP ) 数据中。
示例性的, 校验信息可以是 securityConfirmation , UE 产生 securityConfirmation , 可以是对 securityConfirmationlnput使用: ¾整 性保护算法以及完整性保护算法的密钥计算的完整性保护结果; 也 可以是对 securityConfirmationlnput使用力口密算法以及力口密算法的密 钥计算的加密的结果; 或者是两者的组合。
示例性的, 选择 securityConfirmation中的预设数据可以通过以 下代码实现:
securityConfirmationlnput: := SEQUENCE { cellldentity Cellldentity,
physCellld PhysCellld, c-RNTI C-RNTI
- ASN 1 STOP
4叚设 securityConfirmation是 UE使用力口密算法和^汙生的与辅基 站有关的 KUPenc计算的结果,主基站通过 X2接口向辅基站发送基站 添力口完成消息, 其中基站添力口完成消息携带 securityConfirmation , 辅基 占接 4欠 i'J securityConfirmation。
S202、 辅基站根据辅基站自身衍生的密钥、 预设算法、 预设数 据以及校验信息获取目标数据。
示例性的, 假设校验信息是 securityConfirmation , 预设数据为 securityConfirmationlnput ,该校验信息是 UE使用力口密算法和衍生的 与辅基站有关的 KUPenc对 securityConfirmationlnput 计算的结果, securityConfirmation 是添加到主基站发送给辅基站的基站添加完成 消息中, 辅基站接收到 securityConfirmation后根据加密算法和自身 衍生的 KUPenc 对 securityConfirmation 进行解密计算得到新的 SecurityConfirmationlnpu
或者, 示例性的, 假设校验信息是 securityConfirmation , 预设 数据为 securityConfirmationlnput , 该校验信息是 UE使用完整性保 护 算 法 和 衍 生 的 与 辅 基 站 有 关 的 KUPint 或 者 KRRCint 对 securityConfirmationlnput计算的结果, securityConfirmation是添力口 到 UE 发 送 给辅 基 站 的 MAC 消 息 中 , 辅 基 站 接 收 到 securityConfirmation 后根据完整性保护算法和自身衍生的 KUPint或 者 KRRCint对自身保存的 securityConfirmationlnput进行完整性保护计 算得到新的 securityConfirmation。
或者, 示例性的, 假设校验信息是 securityConfirmation , 预设 数据为 securityConfirmationlnput , 该校验信息 UE使用力。密算法和 衍生的与辅基站有关的 KUPenc对 securityConfirmationlnput计算的结 果, securityConfirmation添加到 UE发送给辅基站的 PDCP数据中, 辅基站接收到 securityConfirmation 后根据加密算法和自身衍生的 KUPenc校验信息进行解密计算得到新的 SecurityConfirmationlnput。
S203、 辅基站根据预设数据、 校验信息以及目标数据判断用户 设备衍生的密钥与辅基站自身衍生的密钥是否相同。
示例性的, 假设校验信息是 securityConfirmation , 预设数据为 securityConfirmationlnput ,该校验信息是 UE使用完整性保护算法和 衍生的与辅基站有关的 KUPint对 securityConfirmationlnput计算的结 果, securityConfirmationlnput是 UE和辅基站均存储的一个辅基站 下的小区标识数据, 辅基站接收到 securityConfirmation后根据完整 性保护算法和自身衍生的 KUPint对 securityConfirmationlnput进行解 完 整性保护 计 算得 到 新 的 securityConfirmation , 判 断 新 的 securityConfirmation与接收到的 securityConfirmation是否相同 , 如 果是则说明 UE 衍生的与辅基站有关的 KUPint与辅基站自身衍生的 KUPin S同, 否则不相同。
或者, 示例性的, 假设校验信息是 securityConfirmation , 预设 数据为 securityConfirmationlnput , 该校验信息是 UE使用完整性保 护算法和衍生的与辅基站有关的 KRRCint对 securityConfirmationlnput 计算的结果, securityConfirmationlnput是 UE和辅基站均存储的一 个辅基站下的小区标识数据, 辅基站接收到 securityConfirmation后 根 据 完 整 性 保 护 算 法 和 自 身 衍 生 的 KRRCint 对 securityConfirmationlnput 进 行 完 整 性 保 护 计 算 得 到 新 的 securityConfirmation , 判断新的 securityConfirmation 与接^ L到的 securityConfirmation 是否相同, 如果相同则说明 UE 衍生的与辅基 站有关的 KRRCint与辅基站自身衍生的 KRRCint相同, 否则不相同。
或者, 示例性的, 假设校验信息是 securityConfirmation , 预设 数据为 securityConfirmationlnput , 该校验信息是 UE使用完整性保 护算法和衍生的与辅基站有关的 KUPint对 securityConfirmationlnput 完整性保护后得到中间变量 securityConfirmationTemp , 再使用加密 算法和衍生的与辅基站有关的 KUPenc securityConfirmationTem 力口 密后得 j securityConfirmation。 辅基 占接 ^L ^j securityConfirmation 后 , 首 先 辅 基 站 使 用 加 密 算 法 和 自 身 衍 生 的 KUPenc 对 securityConfirmation解密后得 i'j securityConfirmationTem , 再对自 身存储的 securityConfirmationlnput 使用完整性保护算法和衍生的 KUPint 完整性保护后得到新的 securityConfirmationTemp , 判断新的 securityConfirmationTem 与接 ^ i'J securityConfirmation解密后得 到的 securityConfirmationTemp是否相同, 如果相同贝1 J说明 UE ^ [汙生 的与辅基站有关的 KUPenc、 KUPint与辅基站自身衍生的 KUPenc、 KUPint 对应相同, 否则不相同。
S204、若用户设备衍生的密钥与辅基站自身衍生的密钥不相同, 则辅基站使用户设备删除该辅基站或使用户设备重新衍生密钥。
示例性的,假设根据步骤 S203判断的结果为通过完整性保护得 i'J r securityConfirmation 与接 securityConfirmation 不 同, 则说明 UE 衍生的与辅基站有关的 KUPint与辅基站自身衍生的 1^1111不相同, 那么, 辅基站可以通知 UE删除该辅基站或者使 UE 重新衍生与该辅基站相关的密钥。
本发明的实施例提供一种校验密钥的方法, 辅基站接收用户设 备发送的校验信息, 校验信息为用户设备对预设数据通过用户设备 衍生的密钥、 预设算法进行保护后得到的信息, 预设算法包括加密 算法、 完整性保护算法中的至少一种; 辅基站根据辅基站自身衍生 的密钥、 预设算法、 预设数据以及校验信息获取目标数据; 辅基站 根据预设数据、 校验信息以及目标数据判断用户设备衍生的密钥与 辅基站自身衍生的密钥是否相同。 能够校验用户设备与辅基站之间 的密钥是否正确, 可以避免由于密钥以及相应的算法不正确而导致 的用户设备与辅基站之间的业务中断。
本发明的实施例提供一种校验密钥的方法, 基于主基站, 如图 12所示, 该方法包括:
S301、 主基站接收用户设备发送的校验信息。
其中, 校验信息为用户设备对预设数据通过用户设备衍生的密 钥、 预设算法进行保护后得到的信息, 预设算法包括加密算法、 完 整性保护算法中的至少一种。
5302、 主基站根据辅基站衍生的密钥、 预设算法、 预设数据以 及校验信息获取目标数据。
5303、 主基站根据预设数据、 校验信息以及目标数据判断用户 设备衍生的密钥与辅基站衍生的密钥是否相同, 得到判断结果。
5304、 主基站将判断结果发送给辅基站。
本发明的实施例提供一种校验密钥的方法, 主基站接收用户设 备发送的校验信息, 校验信息为用户设备对预设数据通过用户设备 衍生的密钥、 预设算法进行保护后得到的信息, 预设算法包括加密 算法、 完整性保护算法中的至少一种; 主基站根据辅基站衍生的密 钥、 预设算法、 预设数据以及校验信息获取目标数据; 主基站根据 预设数据、 校验信息以及目标数据判断用户设备衍生的密钥与辅基 站衍生的密钥是否相同, 得到判断结果; 主基站将判断结果发送给 辅基站。 能够校验用户设备与辅基站之间的密钥是否正确, 可以避 免由于密钥以及相应的算法不正确而导致的用户设备与辅基站之间 的数据错误甚至业务中断。
为了使本领域技术人员能够更清楚地理解本发明实施例提供的 技术方案, 下面通过具体的实施例, 对本发明的实施例提供基于主 基站的校验密钥的方法进行详细说明, 如图 13所示, 该方法包括:
S401、 主基站接收用户设备发送的校验信息。
其中, 校验信息为用户设备对预设数据通过用户设备衍生的密 钥、 预设算法进行保护后得到的信息, 预设算法包括加密算法、 完 整性保护算法中的至少一种。
预设数据包括以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。 具体的, 主基站接收 UE 发送的包含校验信息的无线资源控制 消息。 其中, 示例性的, 无线资源控制消息可以是 RRC Connection Reconfiguration Complete Message , 其中包含有校验信息。
示例性的, 校验信息是可以包含 UE 向主基站发送的 RRC Connection Reconfiguration Complete Message中 , 主基站接收到该校验 信息后向辅基站发送基站添加完成消息中携带该校验信息。
具体的, 在无线资源连接重配置完成消息中携带校验信息可以 通过增力口 securityConfirmation来实现。
示例性的, 可以通过以下代码实现:
RRC Connection Reconfiguration Complete Message
-- ASN 1 START
RRCConnectionReconfigurationComplete : := SEQUENCE { rrc-Transactionldentifier RRC-Transactionldentifier, criticalExtensions CHOICE {
rrcConnectionReconfigurationComplete-r8
RRCConnectionReconfigurationComplete-r8-IEs,
criticalExtensionsFuture SEQUENCE { }
}
}
RRCConnectionReconfigurationComplete-r8-IEs : := SEQUENCE
{
nonCriticalExtension
RRCConnectionReconfigurationComplete-v8aO-IEs OPTIONAL
}
RRCConnectionReconfigurationComplete-v8aO-IEs : :二 SEQUENCE {
lateNonCriticalExtension OCTET STRING
OPTIONAL,
nonCriticalEx tension
RRCConnectionReconfigurationComplete-vl020-IEs OPTIONAL
} CConnection econfigurationComplete-vl020-IEs SEQUENCE {
rlf-InfoAvailable-rlO ENUMERATED {true}
OPTIONAL,
logMeasAvailable-rlO ENUMERATED {true}
OPTIONAL,
nonCriticalExtension
RRCConnectionReconfigurationComplete-vll30-IEs OPTIONAL
}
RRCConnectionReconfigurationComplete-vl 130-IEs
SEQUENCE {
connEstFaillnfoAvailable-rl 1 ENUMERATED {true}
OPTIONAL,
nonCriticalExtension
RRCConnectionReconfigurationComplete-vl2xx-IEs
OPTIONAL
}
RRCConnection econfigurationComplete-vl2xx-IEs
SEQUENCE {
securityConfirmation OCTET STRING OPTIONAL
nonCriticalExtension SEQUENCE { }
OPTIONAL
}
- ASN 1 STOP
其中 Security Confirmation可以为 OCTET STRING ) 或者 BIT STRING (SIZE (xx)的形式等。
示例性的, 选择 securityConfirmation中的预设数据可以通过以 下代码实现: securityConfirmationlnput: := SEQUENCE { cellldentity Cellldentity, physCellld PhysCellld, c-RNTI C-RNTI
}
- ASN 1 STOP
其 中 UE 产 生 securityConfirmation , 可 以 是 对 securityConfirmationlnput使用完整性保护算法以及完整性保护算法 的 密 钥 计 算 的 完 整 性 保 护 结 果 ; 也 可 以 是 对 securityConfirmationlnput使用力口密算法以及力口密算法的密钥计算的 加密的结果; 或者是两者的组合。
4叚设 securityConfirmation是 UE使用力口密算法和^汙生的与辅基 站有关的 KUPenc 计算的结果, UE 向主基站发送 RRC Connection Reconfiguration Complete Message , 其中 RRC Connection Reconfiguration Complete Message 携 带 securityConfirmation , 主基 站 接 收 到 securityConfirmation。 5402、 主基站根据辅基站衍生的密钥、 预设算法、 预设数据以 及校验信息获取目标数据。
示例性的, 假设校验信息是 securityConfirmation , 预设数据为 securityConfirmationlnput ,该校验信息是 UE使用完整性保护算法和 衍生的与辅基站有关的 KUPint对 securityConfirmationlnput计算的结 果, securityConfirmation 是添力口到 UE 发送给主基站的 RRC Connection Reconfiguration Complete Message 中 , 主基站接收到 securityConfirmation 后根据完整性保护算法和辅基站自身衍生的 KUPint (此处的 KUPint是由主基站使用与辅基站相同的密钥衍生过程 得到 ) 对 securityConfirmationlnput 进行完整性保护得到新的 securityConfirmation。
5403、 主基站根据预设数据、 目标数据以及校验信息判断用户 设备衍生的密钥与辅基站衍生的密钥是否相同, 得到判断结果。
示例性的, 假设校验信息是 securityConfirmation , 预设数据为 securityConfirmationlnput ,该校验信息是 UE使用完整性保护算法和 衍生的与辅基站有关的 KUPint对 securityConfirmationlnput计算的结 果, securityConfirmationlnput是 UE和辅基站均存储的一个辅基站 下的小区标识数据, 主基站接收到 securityConfirmation后根据完整 性保护算法和辅基站自身衍生的 KUPint (此处 !^^^是由主基站使用 与辅基站相同的密钥衍生过程得到)对 securityConfirmationlnput 进 行完整性保护计算得到新的 securityConfirmation , 判 断新的 securityConfirmation与接收到的 securityConfirmation 是否相同 , 如 果相同则说明 UE衍生的与辅基站有关的 11111与辅基站自身衍生的 KUPin S同, 否则不相同。
5404、 主基站将判断结果发送给辅基站。
示例性的, 主基站将步骤 S303判断的结果通过 X2接口发送给 辅基站。
5405、 若用户设备衍生的密钥与辅基站的衍生的密钥不相同, 则使用户设备删除辅基站或使用户设备重新衍生密钥。 示例性的, 假设主基站向辅基站判断的结果为: UE衍生的与辅 基站有关的 KUPint与辅基站自身衍生的 !^^^不相同, 那么, 辅基站 可以通知 UE删除该辅基站或者使 UE重新 †生与该辅基站相关的密 钥。
本发明的实施例提供一种校验密钥的方法, 接收用户设备发送 的校验信息, 校验信息为用户设备对预设数据通过用户设备衍生的 密钥、 预设算法进行保护后得到的信息, 预设算法包括加密算法、 完整性保护算法中的至少一种; 根据辅基站衍生的密钥、 预设算法、 预设数据以及校验信息获取目标数据; 根据预设数据、 校验信息以 及目标数据判断用户设备衍生的密钥与辅基站衍生的密钥是否相 同, 得到判断结果; 将判断结果发送给辅基站。 能够校验用户设备 与辅基站之间的密钥是否正确, 可以避免由于密钥以及相应的算法 不正确而导致的用户设备与辅基站之间的数据错误甚至业务中断。
本发明的实施例提供一种校验密钥的方法, 基于 UE , 如图 14 所示, 该方法包括:
S50 用户设备根据用户设备衍生的密钥、 预设算法对接收到 的下行数据进行解密。
S 502、 用户设备根据解密后的数据判断用户设备衍生的密钥与 辅基站衍生的密钥是否相同。
具体的, 用户设备根据解密后的数据判断用户设备衍生的密钥 与辅基站衍生的密钥是否相同包括:
用户设备获取解密后的数据包的互联网协议地址和端口号; 若可以识别互联网协议地址和端口号, 确定用户设备衍生的密 钥与辅基站衍生的密钥相同; 或,
若无法识别互联网协议地址和 /或端口号, 确定用户设备衍生的 密钥与辅基站衍生的密钥不相同。
S503、 用户设备向辅基站发送判断结果。
本发明的实施例提供一种校验密钥的方法, 用户设备根据用户 设备衍生的密钥、 预设算法对接收到的下行数据进行解密; 用户设 备根据解密后的数据判断用户设备衍生的密钥与辅基站衍生的密钥 是否相同; 用户设备向辅基站发送判断结果。 能够校验用户设备与 辅基站之间的密钥是否正确, 可以避免由于密钥以及相应的算法不 正确而导致的用户设备与辅基站之间的数据错误甚至业务中断。
为了使本领域技术人员能够更清楚地理解本发明实施例提供的 技术方案, 下面通过具体的实施例, 对本发明的实施例提供基于 UE 的校验密钥的方法进行详细说明, 如图 15所示, 该方法包括:
5601、 用户设备根据用户设备衍生的密钥、 预设算法对接收到 的下行数据进行解密。
示例性的, 其中, 预设算法可以是加密算法, UE与辅基站之间 已经建立连接, UE根据自身衍生的密钥、 加密算法对从网络侧接收 到的加密的下行数据进行解密, 然后得到 IP报文。
5602、 用户设备获取解密后的数据包的互联网协议地址和端口 号。
示例性的, UE对解密后得的 IP报文进行解析, 得到该报文的 IP地址以及端口号。
5603、 用户设备根据数据包的互联网协议地址和端口号判断用 户设备衍生的密钥与辅基站衍生的密钥是否相同, 得到判断结果。
示例性的, UE 居 IP地址和端口号判断 UE 生的密钥与辅 基站衍生的密钥是否相同,若可以识别该 IP地址与端口号则将该 IP 报文发给对应的应用, 同时也说明 UE 衍生的与辅基站相关的密钥 和辅基站衍生的相关的密钥是相同的;若无法识别该 IP地址和 /或端 口号则 IP报文是错误包, 同时也说明 UE衍生的与辅基站相关的密 钥和辅基站衍生的相关的密钥不相同。
5604、 用户设备向辅基站发送判断结果。
示例性的, U E将判断的结果通过主基站发送给辅基站。
5605、 若用户设备衍生的密钥与辅基站衍生的密钥不相同, 用 户设备通知主基站删除该辅基站; 或用户设备通知主基站重新添加 该辅基站; 或用户设备通过主基站通知该辅基站重新触发重配置流 程; 或用户设备通过主基站通知该辅基站删除该辅基站。
示例性的, 如果 UE 衍生的与辅基站相关的密钥与辅基站衍生 的相关的密钥不相同, UE可以通知主基站添加的辅基站有问题, 同 时可以指示辅基站的哪个承载出了问题, 即在指示中携带承载标识, 主基站确定该辅基站有问题后删除该辅基站或者使主基站重新添加 该辅基站; 或者 UE 还可以通过主基站通知该辅基站重新触发重新 配置与 UE的连接; 或 UE通过主基站通知该辅基站删除该辅基站。
本发明的实施例提供一种校验密钥的方法, 用户设备根据用户 设备衍生的密钥、 预设算法对接收到的下行数据进行解密; 用户设 备根据解密后的数据判断用户设备衍生的密钥与辅基站衍生的密钥 是否相同; 向辅基站发送判断结果。 能够校验用户设备与辅基站之 间的密钥是否正确, 可以避免由于密钥以及相应的算法不正确而导 致的用户设备与辅基站之间的数据错误甚至业务中断。
本发明的实施例提供一种校验密钥的方法, 基于核心网网元, 如图 16所示, 该方法包括:
S70 核心网网元接收辅基站根据辅基站衍生的密钥以及预设 算法对用户设备发送的上行数据进行解密后的数据。
5702、 核心网网元根据解密后的数据判断用户设备衍生的密钥 与辅基站衍生的密钥是否相同。
具体的, 核心网网元根据解密后的数据判断用户设备衍生的密 钥与辅基站衍生的密钥是否相同包括:
获取解密后的数据包的互联网协议地址和端口号;
若可以识别互联网协议地址和端口号, 确定用户设备衍生的密 钥与辅基站衍生的密钥相同; 或,
若无法识别互联网协议地址和 /或端口号, 确定用户设备衍生的 密钥与辅基站衍生的密钥不相同。
5703、 核心网网元向辅基站发送判断的结果。
本发明的实施例提供一种校验密钥的方法, 核心网网元接收辅 基站根据辅基站衍生的密钥以及预设算法对用户设备发送的上行数 据进行解密后的数据; 核心网网元根据解密后的数据判断用户设备 衍生的密钥与辅基站衍生的密钥是否相同; 核心网网元向辅基站发 送判断的结果。 能够校验用户设备与辅基站之间的密钥是否正确, 可以避免由于密钥以及相应的算法不正确而导致的用户设备与辅基 站之间的数据错误甚至业务中断。
为了使本领域技术人员能够更清楚地理解本发明实施例提供的 技术方案, 下面通过具体的实施例, 对本发明的实施例提供基于核 心网网元的校验密钥的方法进行详细说明, 如图 17所示, 该方法包 括:
5801、 核心网网元接收辅基站根据辅基站衍生的密钥以及预设 算法对用户设备发送的上行数据进行解密后的数据。
示例性的, 其中, 预设数据可以是加密算法, UE与辅基站之间 已经建立连接, 辅基站根据自身衍生的密钥、 加密算法对从 UE 接 收到的加密的上行数据进行解密得到 IP报文, 将 IP报文发送给核 心网网元则核心网网元接 i\ 到 IP ^艮文。
5802、 核心网网元获取解密后的数据包的互联网协议地址和端 口号。
示例性的, 核心网网元对接收到的 IP报文进行解析, 得到该报 文的 IP地址以及端口号。
5803、 核心网网元根据数据包的互联网协议地址和端口号判断 用户设备衍生的密钥与辅基站衍生的密钥是否相同, 得到判断结果。
示例性的, 核心网网元 居 IP地址和端口号判断 UE 4汙生的密 钥与辅基站衍生的密钥是否相同, 若可以识别该 IP地址与端口号则 将该 IP报文发给对应的应用, 同时也说明 UE衍生的与辅基站相关 的密钥和辅基站衍生的相关的密钥是相同的; 若无法识别该 IP地址 和 /或端口号则 IP报文是错误包, 同时也说明 UE衍生的与辅基站相 关的密钥和辅基站衍生的相关的密钥不相同。
5804、 核心网网元向辅基站发送判断结果。
示例性的, 核心网网元将判断的结果发送给辅基站。 S 805、 若用户设备衍生的密钥与辅基站衍生的密钥不相同, 核 心网网元通知主基站删除该辅基站; 或核心网网元通知主基站重新 添加该辅基站; 或核心网网元通过主基站通知该辅基站重新触发重 配置流程; 或核心网网元通过主基站通知该辅基站删除该辅基站。
示例性的, 如果 UE 衍生的与辅基站相关的密钥与辅基站衍生 的相关的密钥不相同, 核心网网元可以通过 MME 通知主基站或直 接通知主基站添加的辅基站有问题, 同时可以指示辅基站的哪个承 载出了问题, 即在指示中携带承载标识, 主基站确定该辅基站有问 题后删除该辅基站或者使主基站重新添加该辅基站; 或核心网网元 通过主基站通知该辅基站删除该辅基站。
本发明的实施例提供一种校验密钥的方法, 核心网网元接收辅 基站根据辅基站衍生的密钥以及预设算法对用户设备发送的上行数 据进行解密后的数据; 核心网网元根据解密后的数据判断用户设备 衍生的密钥与辅基站衍生的密钥是否相同; 核心网网元向辅基站发 送判断的结果。 能够校验用户设备与辅基站之间的密钥是否正确, 可以避免由于密钥以及相应的算法不正确而导致的用户设备与辅基 站之间的数据错误甚至业务中断。
本发明的实施例提供一种基站 60 , 如图 18 所示, 该用户设备 60 包括: 总线 64 ; 以及连接到总线 64 的处理器 61、 存储器 62和 接口 63 , 其中该接口 63用于通信; 该存储器 62用于存储计算机代 码, 处理器 61用于执行该计算机代码用于:
接收用户设备发送的校验信息, 校验信息为用户设备对预设数 据通过用户设备衍生的密钥、 预设算法进行保护后得到的信息, 预 设算法包括加密算法、 完整性保护算法中的至少一种;
根据基站衍生的密钥、 预设算法、 预设数据以及校验信息获取 目标数据;
根据预设数据、 校验信息以及目标数据判断用户设备衍生的密 钥与基站衍生的密钥是否相同。
可选的, 处理器 61执行该计算机代码还用于: 若用户设备衍生的密钥与基站衍生的密钥不相同, 则使用户设 备重新衍生密钥或使用户设备删除基站。
可选的,处理器 61执行该计算机代码用于接收用户设备发送的 校验信息, 具体用于:
通过 X2 接口从主基站接收基站添加完成消息, 基站添加完成 消息携带校验信息; 或
接收用户设备发送的媒体接入控制消息, 媒体接入控制消息携 带校验信息; 或
接收用户设备发送的分组包汇聚协议数据, 分组包汇聚协议数 据携带校验信息。
可选的, 预设数据包括以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。
可选的, 该基站为辅基站。
本发明的实施例提供一种基站,接收用户设备发送的校验信息, 校验信息为用户设备对预设数据通过用户设备衍生的密钥、 预设算 法进行保护后得到的信息, 预设算法包括加密算法、 完整性保护算 法中的至少一种; 根据基站衍生的密钥、 预设算法、 预设数据以及 校验信息获取目标数据; 根据预设数据、 校验信息以及目标数据判 断用户设备衍生的密钥与基站衍生的密钥是否相同。 能够校验用户 设备与基站之间的密钥是否正确, 可以避免由于密钥以及相应的算 法不正确而导致的用户设备与辅基站之间的业务中断。
本发明的实施例提供一种基站 70 , 如图 19所示, 该基站 70 包 括: 总线 74 ; 以及连接到总线 74 的处理器 71、 存储器 72 和接口 73 , 其中该接口 73 用于通信; 该存储器 72用于存储计算机代码, 处理器 71用于执行该计算机代码用于: 接收用户设备发送的校验信息, 校验信息为用户设备对预设数 据通过用户设备衍生的密钥、 预设算法进行保护后得到的信息, 预 设算法包括加密算法、 完整性保护算法中的至少一种;
根据辅基站衍生的密钥、 预设算法、 预设数据以及校验信息获 取目标数据;
根据预设数据、 校验信息以及目标数据判断用户设备衍生的密 钥与辅基站衍生的密钥是否相同, 得到判断结果;
用于将判断结果发送给辅基站。
可选的, 处理器 71执行该计算机代码还用于:
若用户设备衍生的密钥与辅基站的衍生的密钥不相同, 则使用 户设备删除辅基站或使用户设备重新衍生密钥。
可选的,处理器 71执行该计算机代码用于接收用户设备发送的 校验信息, 具体用于:
接收用户设备发送的无线资源控制消息, 无线资源控制消息携 带校验信息。
可选的, 预设数据包括以下中的至少一种:
辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的 小区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小 区标识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均 存储的标识数据、 主基站或者辅基站传给用户设备的数据、 特定数 字。
本发明的实施例提供一种基站,接收用户设备发送的校验信息, 校验信息为用户设备对预设数据通过用户设备衍生的密钥、 预设算 法进行保护后得到的信息, 预设算法包括加密算法、 完整性保护算 法中的至少一种; 根据辅基站衍生的密钥、 预设算法、 预设数据以 及校验信息获取目标数据; 根据预设数据、 校验信息以及目标数据 判断用户设备衍生的密钥与辅基站衍生的密钥是否相同, 得到判断 结果; 将判断结果发送给辅基站。 能够校验用户设备与辅基站之间 的密钥是否正确, 可以避免由于密钥以及相应的算法不正确而导致 的用户设备与辅基站之间的数据错误甚至业务中断。
本发明的实施例提供一种用户设备 80 , 如图 20 所示, 该用户 设备 80 包括: 总线 84 ; 以及连接到总线 84 的处理器 81、 存储器 82和接口 83 , 其中该接口 83用于通信; 该存储器 82用于存储计算 机代码, 处理器 81用于执行该计算机代码用于:
根据用户设备衍生的密钥、 预设算法对接收到的下行数据进行 解密;
根据解密后的数据判断用户设备衍生的密钥与辅基站衍生的密 钥是否相同;
向辅基站发送判断结果;
其中, 根据解密后的数据判断用户设备衍生的密钥与辅基站衍 生的密钥是否相同包括:
获取解密后的数据包的互联网协议地址和端口号;
若可以识别互联网协议地址和端口号, 确定用户设备衍生的密 钥与辅基站衍生的密钥相同; 或,
若无法识别互联网协议地址和 /或端口号, 确定用户设备衍生的 密钥与辅基站衍生的密钥不相同。
可选的, 处理器 81执行该计算机代码还用于:
若用户设备衍生的密钥与辅基站衍生的密钥不相同, 通知主基 站删除辅基站; 或通知主基站重新添加辅基站; 或通过主基站通知 辅基站重新触发重配置流程; 或通过主基站通知辅基站删除辅基站。
本发明的实施例提供一种用户设备, 用户设备根据用户设备衍 生的密钥、 预设算法对接收到的下行数据进行解密; 用户设备根据 解密后的数据判断用户设备衍生的密钥与辅基站衍生的密钥是否相 同; 用户设备向辅基站发送判断结果。 能够校验用户设备与辅基站 之间的密钥是否正确, 可以避免由于密钥以及相应的算法不正确而 导致的用户设备与辅基站之间的数据错误甚至业务中断。
本发明的实施例提供一种核心网网元 90 , 如图 21 所示, 该核 心网网元 90包括: 总线 94 ; 以及连接到总线 94的处理器 91、 存储 器 92和接口 93 , 其中该接口 93 用于通信; 该存储器 92用于存储 计算机代码, 处理器 91用于执行该计算机代码用于:
接收辅基站根据辅基站衍生的密钥以及预设算法对用户设备发 送的上行数据进行解密后的数据;
根据解密后的数据判断用户设备衍生的密钥与辅基站衍生的密 钥是否相同;
向辅基站发送判断的结果;
其中, 根据解密后的数据判断用户设备衍生的密钥与辅基站衍 生的密钥是否相同, 包括:
获取解密后的数据包的互联网协议地址和端口号;
若可以识别互联网协议地址和端口号, 确定用户设备衍生的密 钥与辅基站衍生的密钥相同; 或,
若无法识别互联网协议地址和 /或端口号, 确定用户设备衍生的 密钥与辅基站衍生的密钥不相同。
可选的, 处理器 91执行该计算机代码还用于:
若用户设备衍生的密钥与辅基站衍生的密钥不相同, 通知主基 站删除辅基站; 或通知主基站重新添加辅基站; 或通过主基站通知 辅基站重新触发重配置流程; 或通过主基站通知辅基站删除辅基站。
可选的,处理器 91执行该计算机代码用于通知主基站删除辅基 站或通知主基站重新添加辅基站, 具体用于:
向移动性管理实体发送密钥不相同的消息, 并由移动性管理实 体向主基站转发密钥不相同的消息, 以使主基站收到密钥不相同的 消息后删除辅基站或重新添加辅基站。
本发明的实施例提供一种核心网网元, 接收辅基站根据辅基站 衍生的密钥以及预设算法对用户设备发送的上行数据进行解密后的 数据; 根据解密后的数据判断用户设备衍生的密钥与辅基站衍生的 密钥是否相同; 向辅基站发送判断的结果。 能够校验用户设备与辅 基站之间的密钥是否正确, 可以避免由于密钥以及相应的算法不正 确而导致的用户设备与辅基站之间的数据错误甚至业务中断。 本发明中术语 "和 /或", 仅仅是一种描述关联对象的关联关系, 表示可以存在三种关系, 例如, A和 /或 B , 可以表示: 单独存在 A , 同时存在 A和 B , 单独存在 B这三种情况。 另外, 本文中字符 " /" , 一般表示前后关联对象是一种 "或" 的关系。
通过以上的实施方式的描述, 所属领域的技术人员可以清楚地 了解到, 为描述的方便和简洁, 仅以上述各功能模块的划分进行举 例说明, 实际应用中, 可以根据需要而将上述功能分配由不同的功 能模块完成, 即将装置的内部结构划分成不同的功能模块, 以完成 以上描述的全部或者部分功能。 上述描述的***, 装置和单元的具 体工作过程, 可以参考前述方法实施例中的对应过程, 在此不再赘 述。
在本申请所提供的几个实施例中, 应该理解到, 所揭露的***, 装置和方法, 可以通过其它的方式实现。 例如, 以上所描述的装置 实施例仅仅是示意性的, 例如, 所述单元的划分, 仅仅为一种逻辑 功能划分, 实际实现时可以有另外的划分方式, 例如多个单元或组 件可以结合或者可以集成到另一个***, 或一些特征可以忽略, 或 不执行。 另一点, 所显示或讨论的相互之间的耦合或直接耦合或通 信连接可以是通过一些接口, 装置或单元的间接耦合或通信连接, 可以是电性, 机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分 开的, 作为单元显示的部件可以是或者也可以不是物理单元, 即可 以位于一个地方, 或者也可以分布到多个网络单元上。 可以根据实 际的需要选择其中的部分或者全部单元来实现本实施例方案的 目 的。
另外, 在本发明各个实施例中的各功能单元可以集成在一个处 理单元中, 也可以是各个单元单独物理包括, 也可以两个或两个以 上单元集成在一个单元中。 上述集成的单元既可以釆用硬件的形式 实现, 也可以釆用硬件加软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的 产品销售或使用时, 可以存储在一个计算机可读取存储介质中。 基 于这样的理解, 本发明的技术方案本质上或者说对现有技术做出贡 献的部分或者该技术方案的全部或部分可以以软件产品的形式体现 出来, 该计算机软件产品存储在一个存储介质中, 包括若干指令用 以使得一台计算机设备 (可以是个人计算机, 服务器, 或者网络设 备等) 或处理器 ( processor ) 执行本发明各个实施例所述方法的全 部或部分步骤。 而前述的存储介质包括: U 盘、 移动硬盘、 只读存 储器( ROM , Read-Only Memory )、 随机存取存储器( RAM , Random Access Memory ) , 磁碟或者光盘等各种可以存储程序代码的介质。
以上所述, 仅为本发明的具体实施方式, 但本发明的保护范围 并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技 术范围内, 可轻易想到变化或替换, 都应涵盖在本发明的保护范围 之内。 因此, 本发明的保护范围应以所述权利要求的保护范围为准。

Claims (41)

  1. 权 利 要 求 书
    1、 一种基站, 其特征在于, 包括:
    接收单元, 用于接收用户设备发送的校验信息, 所述校验信息为 所述用户设备对预设数据通过所述用户设备衍生的密钥、预设算法进 行保护后得到的信息, 所述预设算法包括加密算法、 完整性保护算法 中的至少一种;
    获取单元, 用于根据所述基站衍生的密钥、 所述预设算法、 所述 预设数据以及所述校验信息获取目标数据;
    判断单元, 用于根据所述预设数据、 所述校验信息以及所述目标 数据判断所述用户设备衍生的密钥与所述基站衍生的密钥是否相同。
  2. 2、 根据权利要求 1所述的基站, 其特征在于, 所述基站还包括: 重置单元,用于若所述用户设备衍生的密钥与所述基站衍生的密 钥不相同, 则使所述用户设备重新衍生密钥或使所述用户设备删除所 述基站。
  3. 3、 根据权利要求 1 所述的基站, 其特征在于, 所述接收单元具 体用于:
    通过 X2接口从主基站接收所述基站添加完成消息, 所述基站添 加完成消息携带所述校验信息; 或
    接收所述用户设备发送的媒体接入控制消息,所述媒体接入控制 消息携带所述校验信息; 或
    接收所述用户设备发送的分组包汇聚协议数据,所述分组包汇聚 协议数据携带所述校验信息。
  4. 4、 根据权利要求 1 所述的基站, 其特征在于, 所述预设数据包 括以下中的至少一种:
    辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的小 区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小区标 识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均存储的 标识数据、 主基站或者辅基站传给用户设备的数据、 特定数字。
  5. 5、 根据权利要求 1 所述的基站, 其特征在于, 所述基站为辅基 站。
  6. 6、 一种基站, 其特征在于, 包括:
    接收单元, 用于接收用户设备发送的校验信息, 所述校验信息为 所述用户设备对预设数据通过所述用户设备衍生的密钥、预设算法进 行保护后得到的信息, 所述预设算法包括加密算法、 完整性保护算法 中的至少一种;
    获取单元, 用于根据辅基站衍生的密钥、 所述预设算法、 所述预 设数据以及所述校验信息获取目标数据;
    判断单元, 用于根据所述预设数据、 所述校验信息以及所述目标 数据判断所述用户设备衍生的密钥与所述辅基站衍生的密钥是否相 同, 得到判断结果;
    发送单元, 用于将所述判断结果发送给所述辅基站。
  7. 7、 根据权利要求 6所述的基站, 其特征在于, 所述基站还包括: 重置单元,用于若所述用户设备衍生的密钥与所述辅基站的衍生 的密钥不相同, 则使所述用户设备删除所述辅基站或使所述用户设备 重新衍生密钥。
  8. 8、 根据权利要求 6所述的基站, 其特征在于, 所述接收单元具 体用于:
    接收所述用户设备发送的无线资源控制消息,所述无线资源控制 消息携带所述校验信息。
  9. 9、 根据权利要求 6所述的基站, 其特征在于, 所述预设数据包 括以下中的至少一种:
    辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的小 区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小区标 识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均存储的 标识数据、 主基站或者辅基站传给用户设备的数据、 特定数字。
  10. 10、 一种用户设备, 其特征在于, 包括:
    解密单元, 用于根据所述用户设备衍生的密钥、 预设算法对接收 到的下行数据进行解密; 判断单元,用于根据解密后的数据判断所述用户设备衍生的密钥 与辅基站衍生的密钥是否相同, 包括:
    获取所述解密后的数据包的互联网协议地址和端口号;
    若可以识别所述互联网协议地址和所述端口号,确定所述用户设 备衍生的密钥与所述辅基站衍生的密钥相同; 或,
    若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同;
    发送单元, 用于向所述辅基站发送所述判断结果。
  11. 1 1、 根据权利要求 10所述的用户设备, 其特征在于, 所述用户 设备还包括:
    通知单元,用于若所述用户设备衍生的密钥与所述辅基站衍生的 密钥不相同, 通知主基站删除所述基站所述辅基站; 或通知所述主基 站重新添加所述基站所述辅基站; 或通过所述主基站通知所述基站所 述辅基站重新触发重配置流程; 或通过所述主基站通知所述基站所述 辅基站删除所述基站所述辅基站。
  12. 12、 一种核心网网元, 其特征在于, 包括:
    接收单元,用于接收辅基站根据所述辅基站衍生的密钥以及预设 算法对用户设备发送的上行数据进行解密后的数据;
    判断单元,用于根据所述解密后的数据判断所述用户设备衍生的 密钥与所述辅基站衍生的密钥是否相同, 包括:
    获取所述解密后的数据包的互联网协议地址和端口号;
    若可以识别所述互联网协议地址和所述端口号,确定所述用户设 备衍生的密钥与所述辅基站衍生的密钥相同; 或,
    若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同;
    发送单元, 用于向所述辅基站发送所述判断的结果。
  13. 13、 根据权利要求 12所述的核心网网元, 其特征在于, 所述核 心网网元还包括:
    通知单元,用于若所述用户设备衍生的密钥与所述辅基站衍生的 密钥不相同, 通知主基站删除所述辅基站; 或通知所述主基站重新添 加所述辅基站; 或通过所述主基站通知所述辅基站重新触发重配置流 程; 或通过所述主基站通知所述辅基站删除所述辅基站。
  14. 14、 根据权利要求 13 所述的核心网网元, 其特征在于, 所述通 知单元具体用于:
    向移动性管理实体发送所述密钥不相同的消息,并由所述移动性 管理实体向所述主基站转发所述密钥不相同的消息, 以使所述主基站 收到所述密钥不相同的消息后删除所述辅基站或重新添加所述辅基 站; 或通过所述主基站通知所述辅基站重新触发重配置流程; 或通过 所述主基站通知所述辅基站删除所述辅基站。
  15. 15、 一种校验密钥的方法, 其特征在于, 包括:
    辅基站接收用户设备发送的校验信息,所述校验信息为所述用户 设备对预设数据通过所述用户设备衍生的密钥、预设算法进行保护后 得到的信息, 所述预设算法包括加密算法、 完整性保护算法中的至少 一种;
    所述辅基站根据所述辅基站衍生的密钥、 所述预设算法、 所述预 设数据以及所述校验信息获取目标数据;
    所述辅基站根据所述预设数据、所述校验信息以及所述目标数据 判断所述用户设备衍生的密钥与所述辅基站衍生的密钥是否相同。
  16. 16、 根据权利要求 15所述的方法, 其特征在于, 所述方法还包 括:
    若所述用户设备衍生的密钥与所述辅基站衍生的密钥不相同,则 使所述用户设备重新衍生密钥或使所述用户设备删除所述辅基站。
  17. 17、 根据权利要求 15所述的方法, 其特征在于, 所述接收用户 设备发送的校验信息包括:
    通过 X2接口从主基站接收所述基站添加完成消息, 所述基站添 加完成消息携带所述校验信息; 或
    接收所述用户设备发送的媒体接入控制消息,所述媒体接入控制 消息携带所述校验信息; 或 接收所述用户设备发送的分组包汇聚协议数据,所述分组包汇聚 协议数据携带所述校验信息。
  18. 18、 根据权利要求 15所述的方法, 其特征在于, 所述预设数据 包括以下中的至少一种:
    辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的小 区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小区标 识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均存储的 标识数据、 主基站或者辅基站传给用户设备的数据、 特定数字。
  19. 19、 一种校验密钥的方法, 其特征在于, 包括:
    主基站接收用户设备发送的校验信息,所述校验信息为所述用户 设备对预设数据通过所述用户设备衍生的密钥、预设算法进行保护后 得到的信息, 所述预设算法包括加密算法、 完整性保护算法中的至少 一种;
    所述主基站根据辅基站衍生的密钥、 所述预设算法、 所述预设数 据以及所述校验信息获取目标数据;
    所述主基站根据所述预设数据、所述校验信息以及所述目标数据 判断所述用户设备衍生的密钥与所述辅基站衍生的密钥是否相同, 得 到判断结果;
    所述主基站将所述判断结果发送给所述辅基站。
  20. 20、 根据权利要求 19所述的方法, 其特征在于, 其特征在于, 所述方法还包括:
    若所述用户设备衍生的密钥与所述辅基站的衍生的密钥不相同, 则使所述用户设备删除所述辅基站或使所述用户设备重新衍生密钥。
  21. 21、 根据权利要求 19所述的方法, 其特征在于, 所述接收用户 设备发送的校验信息包括:
    接收所述用户设备发送的无线资源控制消息,所述无线资源控制 消息携带所述校验信息。
  22. 22、 根据权利要求 19所述的方法, 其特征在于, 所述预设数据 包括以下中的至少一种: 辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的小 区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小区标 识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均存储的 标识数据、 主基站或者辅基站传给用户设备的数据、 特定数字。
  23. 23、 一种校验密钥的方法, 其特征在于, 包括:
    用户设备根据所述用户设备衍生的密钥、预设算法对接收到的下 行数据进行解密;
    所述用户设备根据解密后的数据判断所述用户设备衍生的密钥 与辅基站衍生的密钥是否相同;
    所述用户设备向所述辅基站发送所述判断结果;
    其中,所述用户设备所述根据解密后的数据判断所述用户设备衍 生的密钥与辅基站衍生的密钥是否相同包括:
    所述用户设备获取所述解密后的数据包的互联网协议地址和端 口号;
    若可以识别所述互联网协议地址和所述端口号,确定所述用户设 备衍生的密钥与所述辅基站衍生的密钥相同; 或,
    若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同。
  24. 24、 根据权利要求 23 所述的方法, 其特征在于, 若所述用户设 备衍生的密钥与所述辅基站衍生的密钥不相同, 所述方法还包括: 通知主基站删除所述辅基站; 或
    通知所述主基站重新添加所述辅基站; 或
    通过所述主基站通知所述辅基站重新触发重配置流程; 或 通过所述主基站通知所述辅基站删除所述辅基站。
  25. 25、 一种校验密钥的方法, 其特征在于, 包括:
    核心网网元接收辅基站根据所述辅基站衍生的密钥以及预设算 法对用户设备发送的上行数据进行解密后的数据;
    所述核心网网元根据所述解密后的数据判断所述用户设备衍生 的密钥与所述辅基站衍生的密钥是否相同; 所述核心网网元向所述辅基站发送所述判断的结果; 其中,所述核心网网元根据所述解密后的数据判断所述用户设备 衍生的密钥与所述辅基站衍生的密钥是否相同, 包括:
    获取所述解密后的数据包的互联网协议地址和端口号;
    若可以识别所述互联网协议地址和所述端口号,确定所述用户设 备衍生的密钥与所述辅基站衍生的密钥相同; 或,
    若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同。
  26. 26、 根据权利要求 25所述的方法, 其特征在于, 若所述用户设 备衍生的密钥与所述辅基站衍生的密钥不相同, 所述方法还包括: 通知主基站删除所述辅基站; 或
    通知所述主基站重新添加所述辅基站; 或
    通过所述主基站通知所述辅基站重新触发重配置流程; 或 通过所述主基站通知所述辅基站删除所述辅基站。
  27. 27、 根据权利要求 26所述的方法, 其特征在于, 所述通知主基 站删除所述辅基站或通知所述主基站重新添加所述辅基站包括:
    向移动性管理实体发送所述密钥不相同的消息,并由所述移动性 管理实体向所述主基站转发所述密钥不相同的消息, 以使所述主基站 收到所述密钥不相同的消息后删除所述辅基站或重新添加所述辅基 站。
  28. 28、 一种基站, 其特征在于, 所述基站包括: 通信接口、 存储器、 处理器; 所述通信接口用于与网元通信, 所述存储器用于存储计算机 代码; 所述处理器执行所述计算机代码用于:
    接收用户设备发送的校验信息,所述校验信息为所述用户设备对 预设数据通过所述用户设备衍生的密钥、预设算法进行保护后得到的 信息, 所述预设算法包括加密算法、 完整性保护算法中的至少一种; 根据所述基站衍生的密钥、 所述预设算法、 所述预设数据以及所 述校验信息获取目标数据;
    根据所述预设数据、所述校验信息以及所述目标数据判断所述用 户设备衍生的密钥与所述基站衍生的密钥是否相同。
  29. 29、 根据权利要求 28所述的基站, 其特征在于, 所述处理器执 行所述计算机代码还用于:
    若所述用户设备衍生的密钥与所述基站衍生的密钥不相同,则使 所述用户设备重新衍生密钥或使所述用户设备删除所述基站。
  30. 30、 根据权利要求 28所述的基站, 其特征在于, 所述处理器执 行所述计算机代码还用于:
    通过 X2接口从主基站接收所述基站添加完成消息, 所述基站添 加完成消息携带所述校验信息; 或
    接收所述用户设备发送的媒体接入控制消息,所述媒体接入控制 消息携带所述校验信息; 或
    接收所述用户设备发送的分组包汇聚协议数据,所述分组包汇聚 协议数据携带所述校验信息。
  31. 3 1、 根据权利要求 28所述的基站, 其特征在于, 所述预设数据 包括以下中的至少一种:
    辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的小 区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小区标 识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均存储的 标识数据、 主基站或者辅基站传给用户设备的数据、 特定数字。
  32. 32、 根据权利要求 28所述的基站, 其特征在于, 所述基站为辅 基站。
  33. 33、 一种基站, 其特征在于, 所述基站包括: 通信接口、 存储器、 处理器; 所述通信接口用于与网元通信, 所述存储器用于存储计算机 代码; 所述处理器执行所述计算机代码用于:
    接收用户设备发送的校验信息,所述校验信息为所述用户设备对 预设数据通过所述用户设备衍生的密钥、预设算法进行保护后得到的 信息, 所述预设算法包括加密算法、 完整性保护算法中的至少一种; 根据辅基站衍生的密钥、 所述预设算法、 所述预设数据以及所述 校验信息获取目标数据; 根据所述预设数据、所述校验信息以及所述目标数据判断所述用 户设备衍生的密钥与所述辅基站衍生的密钥是否相同, 得到判断结 果;
    用于将所述判断结果发送给所述辅基站。
  34. 34、 根据权利要求 33 所述的基站, 其特征在于, 所述处理器执 行所述计算机代码还用于:
    若所述用户设备衍生的密钥与所述辅基站的衍生的密钥不相同, 则使所述用户设备删除所述辅基站或使所述用户设备重新衍生密钥。
  35. 35、 根据权利要求 33 所述的基站, 其特征在于, 所述处理器执 行所述计算机代码还用于:
    接收所述用户设备发送的无线资源控制消息,所述无线资源控制 消息携带所述校验信息。
  36. 36、 根据权利要求 33 所述的基站, 其特征在于, 所述预设数据 包括以下中的至少一种:
    辅基站下的小区标识, 辅基站下的物理小区标识, 辅基站下的小 区无线网络临时标识、 主基站下的小区标识, 主基站下的物理小区标 识, 主基站下的小区无线网络临时标识、 辅基站与用户设备均存储的 标识数据、 主基站或者辅基站传给用户设备的数据、 特定数字。
  37. 37、 一种用户设备, 其特征在于, 所述用户设备包括: 通信接口、 存储器、 处理器; 所述通信接口用于与网元通信, 所述存储器用于存 储计算机代码; 所述处理器执行所述计算机代码用于:
    根据所述用户设备衍生的密钥、预设算法对接收到的下行数据进 行解密;
    根据解密后的数据判断所述用户设备衍生的密钥与辅基站衍生 的密钥是否相同;
    向所述辅基站发送所述判断结果;
    其中,所述根据解密后的数据判断所述用户设备衍生的密钥与辅 基站衍生的密钥是否相同包括:
    获取所述解密后的数据包的互联网协议地址和端口号; 若可以识别所述互联网协议地址和所述端口号,确定所述用户设 备衍生的密钥与所述辅基站衍生的密钥相同; 或,
    若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同。
  38. 38、 根据权利要求 37所述的用户设备, 其特征在于, 所述处理 器执行所述计算机代码还用于:
    若所述用户设备衍生的密钥与所述辅基站衍生的密钥不相同,通 知主基站删除所述辅基站; 或通知所述主基站重新添加所述辅基站; 或通过所述主基站通知所述辅基站重新触发重配置流程; 或通过所述 主基站通知所述辅基站删除所述辅基站。
  39. 39、 一种核心网网元, 其特征在于, 所述核心网网元包括: 通信 接口、 存储器、 处理器; 所述通信接口用于与网元通信, 所述存储器 用于存储计算机代码; 所述处理器执行所述计算机代码用于:
    接收辅基站根据所述辅基站衍生的密钥以及预设算法对用户设 备发送的上行数据进行解密后的数据;
    根据所述解密后的数据判断所述用户设备衍生的密钥与所述辅 基站衍生的密钥是否相同;
    向所述辅基站发送所述判断的结果;
    其中,所述根据所述解密后的数据判断所述用户设备衍生的密钥 与所述辅基站衍生的密钥是否相同, 包括:
    获取所述解密后的数据包的互联网协议地址和端口号;
    若可以识别所述互联网协议地址和所述端口号,确定所述用户设 备衍生的密钥与所述辅基站衍生的密钥相同; 或,
    若无法识别所述互联网协议地址和 /或所述端口号, 确定所述用 户设备衍生的密钥与所述辅基站衍生的密钥不相同。
  40. 40、 根据权利要求 39所述的核心网网元, 其特征在于, 所述处 理器执行所述计算机代码还用于:
    若所述用户设备衍生的密钥与所述辅基站衍生的密钥不相同,通 知主基站删除所述辅基站; 或通知所述主基站重新添加所述辅基站; 或通过所述主基站通知所述辅基站重新触发重配置流程; 或通过所述 主基站通知所述辅基站删除所述辅基站。
  41. 41、 根据权利要求 40所述的核心网网元, 其特征在于, 所述处 理器执行所述计算机代码还用于:
    向移动性管理实体发送所述密钥不相同的消息,并由所述移动性 管理实体向所述主基站转发所述密钥不相同的消息, 以使所述主基站 收到所述密钥不相同的消息后删除所述辅基站或重新添加所述辅基 站。
CN201480000891.9A 2014-01-14 2014-01-14 一种校验密钥的方法、基站、用户设备和核心网网元 Active CN105027495B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2014/070607 WO2015106387A1 (zh) 2014-01-14 2014-01-14 一种校验密钥的方法、基站、用户设备和核心网网元

Publications (2)

Publication Number Publication Date
CN105027495A true CN105027495A (zh) 2015-11-04
CN105027495B CN105027495B (zh) 2018-12-14

Family

ID=53542265

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201480000891.9A Active CN105027495B (zh) 2014-01-14 2014-01-14 一种校验密钥的方法、基站、用户设备和核心网网元

Country Status (2)

Country Link
CN (1) CN105027495B (zh)
WO (1) WO2015106387A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113132924A (zh) * 2021-04-19 2021-07-16 北京达源环保科技有限公司 用于高部署密度的污泥厌氧消化监测终端的信息传输方法及***
CN113573423A (zh) * 2018-05-30 2021-10-29 华为技术有限公司 一种通信方法及装置
CN114069826A (zh) * 2021-10-30 2022-02-18 国网湖南省电力有限公司 一种备自投装置5g通讯安全校核方法、***及介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859772A (zh) * 2006-01-07 2006-11-08 华为技术有限公司 一种基于通用鉴权框架的安全业务通信方法
CN101102186A (zh) * 2006-07-04 2008-01-09 华为技术有限公司 通用鉴权框架推送业务实现方法
CN101309503A (zh) * 2007-05-17 2008-11-19 华为技术有限公司 无线切换方法、基站及终端
EP2028890A1 (en) * 2007-08-12 2009-02-25 LG Electronics Inc. Handover method with link failure recovery, wireless device and base station for implementing such method
CN101715188A (zh) * 2010-01-14 2010-05-26 中兴通讯股份有限公司 一种空口密钥的更新方法及***
CN102215485A (zh) * 2010-04-04 2011-10-12 中兴通讯股份有限公司 多载波通信***中保证多载波切换或重建安全性的方法
US20120155647A1 (en) * 2010-12-21 2012-06-21 General Instrument Corporation Cryptographic devices & methods
CN102625302A (zh) * 2008-06-23 2012-08-01 华为技术有限公司 密钥衍生方法、设备及***

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
US9002357B2 (en) * 2009-06-26 2015-04-07 Qualcomm Incorporated Systems, apparatus and methods to facilitate handover security

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859772A (zh) * 2006-01-07 2006-11-08 华为技术有限公司 一种基于通用鉴权框架的安全业务通信方法
CN101102186A (zh) * 2006-07-04 2008-01-09 华为技术有限公司 通用鉴权框架推送业务实现方法
CN101309503A (zh) * 2007-05-17 2008-11-19 华为技术有限公司 无线切换方法、基站及终端
EP2028890A1 (en) * 2007-08-12 2009-02-25 LG Electronics Inc. Handover method with link failure recovery, wireless device and base station for implementing such method
CN102625302A (zh) * 2008-06-23 2012-08-01 华为技术有限公司 密钥衍生方法、设备及***
CN101715188A (zh) * 2010-01-14 2010-05-26 中兴通讯股份有限公司 一种空口密钥的更新方法及***
CN102215485A (zh) * 2010-04-04 2011-10-12 中兴通讯股份有限公司 多载波通信***中保证多载波切换或重建安全性的方法
US20120155647A1 (en) * 2010-12-21 2012-06-21 General Instrument Corporation Cryptographic devices & methods

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113573423A (zh) * 2018-05-30 2021-10-29 华为技术有限公司 一种通信方法及装置
CN113573423B (zh) * 2018-05-30 2024-01-16 华为技术有限公司 一种通信方法及装置
CN113132924A (zh) * 2021-04-19 2021-07-16 北京达源环保科技有限公司 用于高部署密度的污泥厌氧消化监测终端的信息传输方法及***
CN113132924B (zh) * 2021-04-19 2022-01-21 北京达源环保科技有限公司 用于高部署密度的污泥厌氧消化监测终端的信息传输方法及***
CN114069826A (zh) * 2021-10-30 2022-02-18 国网湖南省电力有限公司 一种备自投装置5g通讯安全校核方法、***及介质

Also Published As

Publication number Publication date
WO2015106387A1 (zh) 2015-07-23
CN105027495B (zh) 2018-12-14

Similar Documents

Publication Publication Date Title
CN101836470B (zh) 用于启用lte移动单元中非接入层(nas)安全性的方法和设备
CN110121168B (zh) 安全协商方法及装置
CN102036256B (zh) 数据传输方法、装置及***
CN102869007B (zh) 安全算法协商的方法、装置及网络***
CN109729524B (zh) 一种rrc连接恢复方法及装置
CN103167492B (zh) 在通信***中生成接入层密钥的方法及其设备
WO2019096002A1 (zh) 一种安全保护的方法及装置
CN109218325A (zh) 数据完整性保护方法和装置
CN104936175A (zh) 在双连接的通信环境下进行密钥更新的方法和装置
CN103609154A (zh) 一种无线局域网接入鉴权方法、设备及***
WO2009152755A1 (zh) 密钥身份标识符的生成方法和***
CN102404721A (zh) Un接口的安全保护方法、装置和基站
CN109246696B (zh) 密钥处理方法以及相关装置
CN113225784B (zh) 消息的识别方法和装置
CN110366175B (zh) 安全协商方法、终端设备和网络设备
CN114145032B (zh) 获取安全上下文的方法、装置和通信***
CN107801187A (zh) 加解密方法、装置及***
CN105704753A (zh) 一种进行数据传输的方法、***和设备
JP2016517239A5 (zh)
CN103139769B (zh) 一种无线通信方法及网络子***
CN102612028B (zh) 一种配置传输和数据传输的方法、***及设备
WO2022151917A1 (zh) 消息处理方法、装置、终端及网络侧设备
CN105027495A (zh) 一种校验密钥的方法、基站、用户设备和核心网网元
WO2016077090A1 (en) Techniques for encrypting fields of a frame header for wi-fi privacy
KR100968472B1 (ko) 무선통신시스템에서 시그널링 무선베어러의 배치 방법 및장치

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant