CN109618419A - 一种用于支持双连接的安全处理方法及*** - Google Patents

一种用于支持双连接的安全处理方法及*** Download PDF

Info

Publication number
CN109618419A
CN109618419A CN201811555375.9A CN201811555375A CN109618419A CN 109618419 A CN109618419 A CN 109618419A CN 201811555375 A CN201811555375 A CN 201811555375A CN 109618419 A CN109618419 A CN 109618419A
Authority
CN
China
Prior art keywords
pce
terminal
base station
message
carrying
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811555375.9A
Other languages
English (en)
Other versions
CN109618419B (zh
Inventor
王转莉
黄雪英
杜高鹏
司伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201811555375.9A priority Critical patent/CN109618419B/zh
Publication of CN109618419A publication Critical patent/CN109618419A/zh
Priority to ES19901274T priority patent/ES2964483T3/es
Priority to EP19901274.1A priority patent/EP3897067B1/en
Priority to PCT/CN2019/109624 priority patent/WO2020125133A1/zh
Application granted granted Critical
Publication of CN109618419B publication Critical patent/CN109618419B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/15Setup of multiple wireless link connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例公开了一种用于支持双连接的安全处理方法及***;上述安全处理***包括:包协同操作单元PCE、LTE基站以及NR基站;LTE基站和NR基站分别连接PCE;PCE上部署有NR PDCP层;当终端在LTE基站和NR基站建立双连接时,终端的主节点MN和辅节点SN给该终端选择同一个PCE作为PDCP锚点;其中,LTE基站为MN,NR基站为SN,或者,NR基站为MN,LTE基站为SN。

Description

一种用于支持双连接的安全处理方法及***
技术领域
本申请实施例涉及但不限于无线通信技术领域,尤指一种用于支持双连接的安全处理方法及***。
背景技术
随着第五代移动通信技术(5G,Fifth-generation)时代的到来,在5G应用的初级阶段,5G基站开始最可能通过热点插花的方式,与周围已经大量存在的LTE(Long TermEvolution,长期演进)基站配置使用,在热点地区和大流量地区先使用5G。由于5G核心网和5G终端都未成熟商用,在这种场景下,需要使用4G核心网(EPC,Evolved Packet Core)进行数据传输,终端(UE,User Equipment)通过LTE接入并通过双连接技术(DualConnectivity)使用5G的空口资源。第三代合作伙伴计划(3GPP,Third GenerationPartnership Project)上将这种架构定义为Option3,双连接技术定义为ENDC(E-UTRA-NRDual Connectivity)。这种5G网络不能独立提供端到端服务,而需要依托LTE网络来提供服务的网络架构,统称为NSA(Non-standalone Architecture,紧耦合架构)组网。为清晰起见,在NSA网络下具备ENDC能力的终端,本文描述为5G终端。
ENDC双连接技术实现LTE与5G***间的协同工作。在连续广域覆盖场景下,用户同时连接到多个小区或者服务小区组,在切换过程中有助于降低时延,避免业务中断,保持业务连续性;在热点高容量覆盖下,通过双连接技术,用户使用多个小区的无线资源同时传送数据,可以提高用户吞吐量,满足热点高容量需求;对于低时延高可靠场景来说,采用多个链路进行数据和控制消息的传送,可提高数据或者信令的传输速度和可靠性。
发明内容
本申请实施例提供一种用于支持双连接的安全处理方法及***,可以提升双连接场景下的用户体验。
一方面,本申请实施例提供一种用于支持双连接的安全处理***,包括:包协同操作单元(PCE,Packet Co-operate Engine)、长期演进(LTE,Long Term Evolution)基站以及新空口(NR,New Radio)基站;LTE基站和NR基站分别连接PCE;PCE上部署有NR分组数据汇聚协议(PDCP,Packet Data Convergence Protocol)层;当一终端在所述LTE基站和所述NR基站建立双连接时,所述终端的主节点(MN,Master Node)和辅节点(SN,Secondary Node)给所述终端选择同一个PCE作为PDCP锚点;其中,所述LTE基站为MN,所述NR基站为SN,或者,所述NR基站为MN,所述LTE基站为SN。
另一方面,本申请实施例提供一种用于支持双连接的安全处理方法,包括:终端的MN在与所述终端建立通信连接时,给所述终端选择部署有NR PDCP层的一个PCE作为PDCP锚点;所述MN给所述终端的SN发送SN添加请求消息,其中,所述SN添加请求消息至少携带所述MN的安全密钥、所述MN给所述终端选择的所述PCE的信息;所述MN接收所述SN发送的SN添加确认消息,其中,所述SN添加确认消息携带对所述MN的安全密钥的选择信息,用于指示所述SN给所述终端选择的PCE与所述MN给所述终端选择的所述PCE相同;所述MN向所述终端发送无线资源控制(RRC,Radio Resource Control)连接重配置消息,其中携带对所述MN的安全密钥的选择信息;其中,所述MN为长期演进LTE基站,所述SN为NR基站;或者,所述MN为NR基站,所述SN为LTE基站。
另一方面,本申请实施例提供一种用于支持双连接的安全处理方法,包括:终端的SN接收MN发送的SN添加请求消息后,给所述终端选择部署有NR PDCP层的一个PCE作为PDCP锚点,所述SN选择的PCE与所述MN给所述终端选择的PCE相同;所述SN向所述PCE发送承载建立请求消息;所述SN接收到所述PCE发送的承载建立响应消息后,向所述MN发送SN添加确认消息,其中携带对所述MN的安全密钥的选择信息;其中,所述MN为LTE基站,所述SN为NR基站;或者,所述MN为NR基站,所述SN为LTE基站。
另一方面,本申请实施例提供一种用于支持双连接的安全处理方法,应用于部署有NR PDCP层的PCE,所述方法包括:PCE接收LTE基站或NR基站发送的承载建立请求消息;所述PCE根据所述承载建立请求消息携带的承载信息,查询到所述承载信息对应的PDCP实体,并根据所述承载建立请求消息是否携带安全信息,确定所述承载信息对应的PDCP实体使用的安全信息是否变化。
另一方面,本申请实施例提供一种通信设备,包括:第一存储器和第一处理器;所述第一存储器适于存储用于支持双连接的安全处理程序,所述安全处理程序被所述第一处理器执行时实现终端的MN侧的安全处理方法的步骤。
另一方面,本申请实施例提供一种通信设备,包括:第二存储器和第二处理器;所述第二存储器适于存储用于支持双连接的安全处理程序,所述安全处理程序被所述第二处理器执行时实现终端的SN侧的安全处理方法的步骤。
另一方面,本申请实施例提供一种通信设备,包括:第三存储器和第三处理器;所述第三存储器适于存储用于支持双连接的安全处理程序,所述安全处理程序被所述第三处理器执行时实现上述PCE侧的安全处理方法的步骤。
此外,本申请实施例还提供一种计算机可读介质,存储有用于支持双连接的安全处理程序,该安全处理程序被处理器执行时实现上述任一方面提供的用于支持双连接的安全处理方法的步骤。
本申请实施例中,终端的主节点和辅节点给该终端选择同一个PCE作为PDCP锚点,从而在SN添加或删除过程中可以保证PDCP锚点不变,使得终端数据传输使用的安全信息不用变更,避免安全变更过程中的数据断流,从而提升用户的业务体验。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本申请技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
图1为3GPP的协议33401中ENDC双连接的协议层次图;
图2为3GPP的协议33401中ENDC双连接的密钥推衍过程示意图;
图3为3GPP的协议33401中ENDC双连接安全过程的示意图;
图4为本申请实施例提供的用于支持双连接的安全处理***的示意图;
图5为本申请实施例提供的用于支持双连接的安全处理***的协议层次的示例图;
图6为本申请实施例提供的一种用于支持双连接的安全处理方法的流程图;
图7为本申请实施例提供的另一种用于支持双连接的安全处理方法的流程图;
图8为本申请实施例提供的另一种用于支持双连接的安全处理方法的流程图;
图9为本申请实施例提供的一种示例性实施例的示意图;
图10为本申请实施例提供的另一种示例性实施例的示意图;
图11为本申请实施例提供的另一种示例性实施例的示意图;
图12为本申请实施例提供的另一种示例性实施例的示意图;
图13为本申请实施例提供的另一种示例性实施例的示意图;
图14为本申请实施例提供的另一种示例性实施例的示意图;
图15为本申请实施例提供的另一种示例性实施例的示意图;
图16为本申请实施例提供的另一种示例性实施例的示意图;
图17为本申请实施例提供的另一种示例性实施例的示意图;
图18为本申请实施例提供的一种通信设备的示意图;
图19为本申请实施例提供的另一种通信设备的示意图;
图20为本申请实施例提供的另一种通信设备的示意图。
具体实施方式
下面将结合附图对本申请的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在ENDC双连接架构下,从协议上讲,承载的要求如下:对于MCG(Master CellGroup,主小区簇)分离(Split)承载、SCG(Secondary Cell Group,辅小区簇)承载、SCGSplit(以下简称为SS)承载必须使用新空口(NR,New Radio)PDCP(Packet DataConvergence Protocol,分组数据汇聚协议);对于MCG承载,可以使用LTE PDCP或NR PDCP;对于MCG/MCGSplit承载,NR PDCP配置必须由双连接中的主节点(MN,Master Node)产生,而对于SCG/SCGSplit承载,NR PDCP配置必须由双连接中的辅节点(SN,Secondary Node)产生。
基于上述ENDC协议架构,在建立双连接时,需要在LTE基站、NR基站以及EPC之间进行大量的信令和数据协同,显著增加了处理开销。其中,当用户在进入或退出5G小区覆盖时,需要在4G小区和5G小区之间频繁迁移PDCP锚点;当用户在连续的5G小区覆盖之间移动时,需要在5G小区和5G小区之间频繁迁移PDCP锚点。当进行PDCP锚点迁移时,需要通知核心网进行S1下行地址修改,当频繁进入或退出5G小区覆盖时,会对核心网造成大量的信令冲击。当给5G终端建立MCG/MCG Split承载时,5G终端的PDCP流量需要承载在LTE***上,势必会对存量LTE的能力造成影响。
图1为3GPP的协议33401中ENDC双连接协议层次图。如图1所示,LTE eNB作为主基站(MeNB,Master eNB),gNB(第五代基站)作为SgNB(Secondary gNB,次要第五代基站),MeNB和SgNB之间通过X2接口互连。MeNB与SgNB上均部署有无线资源控制(RRC,RadioResource Control)实体,用于实现与终端(UE,User Equipment)之间的RRC信令传输。在MeNB侧,RRC信令可以通过RRC实体、分组数据汇聚协议(PDCP,Packet Data ConvergenceProtocol)层、无线链路控制(RLC,Radio Link Control)协议层、媒体接入控制(MAC,Medium Access Control)协议层及物理层(PHY)传输;用户面数据可以通过PDCP层、RLC协议层、MAC协议层及PHY传输。在SgNB侧,RRC信令可以通过RRC实体、PDCP层、RLC协议层、MAC协议层及PHY传输;用户面数据可以通过PDCP层、RLC协议层、MAC协议层以及PHY传输。其中,MeNB可以通过S1-MME接口与核心网进行NAS(Non-Access Stratum,非接入层)通信,可以通过S1-U接口与核心网实现用户面数据通信;SgNB可以通过S1-U接口与核心网实现用户面数据通信。图1中SRB表示信令无线承载(Signalling Radio Bearer),DRB表示数据无线承载(Data Radio Bearer)。
图2为3GPP的协议33401中ENDC双连接的密钥推衍过程示意图。如图2所示,UE和MeNB可以根据SCG Counter和安全密钥KeNB推衍出SgNB的安全密钥S-KgNB,SgNB和UE可以从S-KgNB推衍得到用作用户面(UP,User Plane)保密性算法的输入密钥KSgNB-UP-enc、用作RRC完整性算法的输入密钥KSgNB-RRC-int以及用作RRC保密性算法的输入密钥KSgNB-RRC-enc。其中,KDF(Key Derivation Function)表示密钥派生函数;Trunc函数用于截取日期或数字,返回指定的值。图2中,N-UP-enc-alg,Alg-ID表示UP加密密钥KSgNB-UP-enc的推衍算法的算法标识,N-RRC-enc-alg,Alg-ID表示RRC加密密钥KSgNB-RRC-enc的推衍算法的算法标识,N-RRC-int-alg,Alg-ID表示RRC完整性密钥KSgNB-RRC-int的推衍算法的算法标识。
图3为3GPP的协议33401中ENDC双连接安全过程的示意图。如图3所示,ENDC双连接安全过程包括以下步骤:
步骤S1、UE和MeNB建立RRC连接。
步骤S2、在MeNB决定对某些DRB(Data Radio Bearer,数据无线承载)和/或SRB(Signalling Radio Bearer,信令无线承载)使用双连接之前,MeNB检查UE是否具有NR能力并被授权访问NR。MeNB通过X2-C接口向SgNB发送SgNB添加请求消息(其中可以携带S-KgNB以及UE的NR安全能力),以协商在SgNB侧的可用资源、配置和算法。
步骤S3、SgNB分配必要的资源,并为DRB和SRB选择加密算法和完整性算法。
步骤S4、SgNB向MeNB发送SgNB添加请求响应消息,指示所请求资源的可用性以及用于服务所请求的DRB和/或SRB的所选算法的标识符。
步骤S5、MeNB向UE发送RRC连接重配置请求消息,用于指示其为SgNB配置新的DRB和/或SRB。RRC连接重配置请求消息中可以包括SCG计数器参数(SCG Counter),以指示如果需要新密钥,则UE可以为SgNB计算S-KgNB
步骤S6、UE接收RRC连接重配置请求消息,若其中包含SCG计数器参数(SCGCounter),UE可以为SgNB计算S-KgNB。UE还可以为关联的DRB和/或SRB计算KSgNB-UP-enc、KSgNB-RRC-int和KSgNB-RRC-enc。UE发送RRC连接重配置响应消息给MeNB。UE可以在此时激活所选择的加密/解密和完整性保护。
步骤S7、MeNB通过X2-C接口向SgNB发送SgNB重配置完成消息,以向SgNB通知配置结果。收到此消息后,SgNB可以激活所选择的加密/解密和完整性保护。
参照图1至图3可知,当没有添加SN时,安全锚点(即PDCP锚点)在MeNB侧,在添加SN后,安全锚点迁移到SgNB侧。然而,SN是根据UE需要随时发起建立和删除的。随着SN的添加或删除,安全锚点会来回变更。安全锚点变更,安全处理也要随之进行变更,而安全处理的变更会触发PDCP层重建立、RLC层重建立、MAC复位(RESET)动作,从而造成业务数据断流,空口会出现数据丢包现象,严重影响用户体验。
本申请实施例提供一种用于支持双连接的安全处理方法及***,终端的主节点(MN)和辅节点(SN)给该终端选择同一个包协同操作单元(PCE,Packet Co-operateEngine)作为PDCP锚点,从而在SN添加或删除过程中保证PDCP锚点不变,使得终端数据传输使用的安全信息不用变更,避免安全变更过程中的数据断流,从而提升用户的业务体验。
图4为本申请实施例提供的一种用于支持双连接的安全处理***的示意图。如图4所示,本实施例提供的安全处理***可以包括:包协同操作单元(PCE,Packet Co-operateEngine)、LTE基站以及NR(New Radio,新空口)基站;其中,PCE上部署有NR PDCP层。LTE基站和NR基站分别连接PCE。本申请对于PCE的数目、每个PCE连接的LTE基站和NR基站的数目均不限定。在图4中仅绘示了一个PCE、一个LTE基站以及一个NR基站作为示例。然而,本申请对此并不限定。
本实施例中,当终端在LTE基站和NR基站建立双连接,该终端的主节点(MN)和辅节点(SN)给该终端选择同一个PCE作为PDCP锚点;其中,LTE基站为MN,NR基站为SN,或者,NR基站为MN,LTE基站为SN。基于此,通过避免PDCP锚点变更,避免安全处理变更,从而避免数据断流。
在一示例性实施例中,终端的MN给该终端选择一个PCE作为PDCP锚点,该PCE上给该终端的无线承载创建的PDCP实体可以使用根据MN的安全密钥推衍得到的安全信息;该终端的SN给该终端选择该PCE作为PDCP锚点后,该PCE上的该PDCP实体使用的安全信息不变。换言之,在该终端的SN添加过程中,该终端的MN和SN选择同一个PCE作为PDCP锚点,保持PDCP锚点不变,进而确保终端数据传输使用的安全信息不用变更。
在本示例性实施例中,终端的MN可以适于在确定删除该SN时,仍给该终端选择该PCE作为PDCP锚点,且该PCE上的该PDCP实体使用的安全信息不变。换言之,在该终端的SN删除过程中,该终端的MN选择的PCE不变,保持PDCP锚点不变,进而确保终端数据传输使用的安全信息不用变更。
在一示例性实施例中,以LTE基站作为终端的MN,NR基站作为终端的SN为例。终端的MN与该终端建立通信连接时,从与该MN连接的PCE中,给该终端选择一个PCE作为PDCP锚点,其中,该PCE上给该终端的无线承载创建的PDCP实体,可以使用根据MN的安全密钥(KeNB)推衍得到的安全信息(比如,包括RRC完整性密钥KRRCint、RRC加密密钥KRRCenc以及用户面加密密钥KUPenc)。在该终端的SN添加过程中,该终端的MN给该终端的SN发送SN添加请求消息,其中至少可以携带MN的安全密钥(KeNB)、MN给该终端选择的PCE的信息(比如,PCE标识(ID,Identity))以及该终端的承载信息;该SN接收到SN添加请求消息后,与MN选择相同的PCE作为PDCP锚点,并确定使用MN的安全密钥(KeNB)。该SN向所选的PCE发送承载建立请求消息,其中可以携带该终端的承载信息。该PCE接收到SN的承载建立请求消息后,根据其中携带的承载信息查找到对应的PDCP实体,确定该PDCP实体使用的安全信息不变,并向该SN返回承载建立响应消息。该SN接收到承载建立响应消息后,向该MN发送SN添加确认消息,其中可以携带对MN的安全密钥(KeNB)的选择信息。该MN接收到SN添加确认消息后,向该终端发送RRC连接重配置消息,其中可以携带对MN的安全密钥(KeNB)的选择信息,例如在RRC连接重配置消息的SecurityConfig.keyToUse信元选择安全密钥KeNB。在本示例性实施例中,在MN给终端添加SN的过程中,MN和SN选择同一个PCE作为PDCP锚点,保证了PCE上对应该终端的无线承载(比如,数据无线承载(DRB,Data Radio Bearer))的PDCP实体使用的安全信息不变,使得该终端的数据传输所使用的安全信息不变,避免了安全变更导致的数据断流。
在上述示例性实施例中,终端的MN确定删除该终端的该SN时,仍可以选择之前的PCE(即该MN和该SN共同选择的PCE)作为PDCP锚点。在该终端的SN删除过程中,该终端的MN向该PCE发送承载建立请求消息,其中可以携带该终端的承载信息;该PCE接收到该MN的承载建立请求消息后,根据其中携带的承载信息查找到对应的PDCP实体,确定该PDCP实体使用的安全信息不变,并向该MN返回承载建立响应消息。该MN接收到承载建立响应消息后,向该终端发送RRC连接重配置消息,其中可以携带对MN的安全密钥(KeNB)的选择信息,例如在RRC连接重配置消息的SecurityConfig.keyToUse信元选择安全密钥KeNB。在本示例性实施例中,在MN给终端删除SN的过程中,选择的PCE保持不变,保证了PCE上的PDCP实体使用的安全信息不变,使得该终端的数据传输所使用的安全信息不变,避免了安全变更导致的数据断流。
在一示例性实施例中,当终端的MN触发安全密钥更新,或SN触发安全密钥更新,MN和SN给该终端选择的PCE可以适于从该SN接收新的安全信息,其中,新的安全信息根据新的安全密钥推衍得到;该PCE还可以适于在接收到该MN或该SN的关闸消息后,暂停下行数据的发送和上行数据的接收,并触发PDCP重建立。比如,PCE可以适于在接收到MN的关闸消息后,暂停与MN之间的数据传输,在接收到SN的关闸消息后,暂停与SN之间的数据传输。比如,PCE可以在接收到MN和SN的关闸消息后,触发PDCP重建立;或者,PCE可以在接收到MN的关闸消息后,触发PDCP重建立,或者,在接收到SN的关闸消息后,触发PDCP重建立。然而,本申请对此并不限定。
本示例性实施例中,通过将PDCP重建立的时间点设置在接收到关闸消息后,避免PDCP重建立的时机早于RLC重建立时机,造成使用老的安全信息的数据采用新的安全信息进行处理,导致解密失败,数据丢弃。
在本示例性实施例中,该PCE还可以适于在接收到MN或SN的开闸消息后,给重建后的PDCP实体生效新的安全信息;其中,MN或SN可以适于在检测到该终端的RRC连接重配置完成消息后,向该PCE发送开闸消息。本示例性实施例中,通过将新的安全信息的启用时间点设置在接收到开闸消息后,避免PDCP重建立的时机早于RLC重建立时机,造成使用老的安全信息的数据采用新的安全信息进行处理,导致解密失败,数据丢弃。
图5为本申请实施例提供的安全处理***的协议层次的示例图。在图5中仍以一个PCE、一个LTE基站和一个NR基站为例进行说明。其中,PCE为独立于LTE基站和NR基站的第三方处理实体,PCE上部署有空口协议层的NR PDCP层。在协议架构上,NR PDCP层负责AS(Access Stratum,接入层)信令及业务数据的安全处理(完整性保护及加密),而且,NRPDCP层还是信令及业务数据在基站侧的缓存点。因此,承载了NR PDCP层处理的PCE可以作为(包含且不限于)4G或5G承载的安全锚点(即PDCP锚点)。示例性地,PCE上的PDCP实体使用的安全信息可以包括RRC完整性密钥KRRCint、RRC加密密钥KRRCenc、UP加密密钥KUPenc;这些密钥可以根据LTE侧的安全密钥KeNB或者NR侧的安全密钥S-KgNB推衍而来。
如图5所示,PCE上还可以部署有两个GTPU(GPRS Tunneling Protocol UserPlane,GPRS隧道协议用户面)层;其中一个GTPU层负责与LTE基站和NR基站之间的通信,另一个GTPU层负责与核心网之间的交互。然而,本申请对此并不限定。
如图5所示,由于PCE的引入,LTE基站的处理协议层中可以不设置NR PDCP层,可以保留RLC层及MAC层的处理。LTE基站上还可以部署GTPU层,负责与PCE之间的通信。LTE基站可以通过F1-U口和PCE进行数据交互。
在一示例性实施例中,在图5所示的架构下,当4G终端接入LTE基站(eNB)后,可以选择eNB上的LTE PDCP层作为安全锚点,4G终端的承载无需使用PCE;当5G终端接入LTE基站后,可以选择PCE上的NR PDCP层作为安全锚点,5G终端的承载可以建立在PCE上。其中,LTE基站的安全密钥为KeNB,该安全密钥是由核心网传递给LTE基站的。
在一示例性实施例中,LTE基站可以负责完成以下安全功能:选择PCE上NR PDCP层执行的完整性保护和加密算法;推衍出PCE上NR PDCP层执行的完整性保护和加密密钥;确定5G终端的NR安全能力;推衍及维护5G终端的NR侧安全密钥S-KgNB
如图5所示,由于PCE的引入,NR基站的处理协议层中同LTE基站一样,可以不部署NR PDCP层,可以部署RLC层及MAC层。NR基站上还可以部署GTPU层,负责与PCE之间的通信。
在一示例性实施例中,在图5所示的架构下,5G终端初始从LTE基站接入后,当检测满足双连接添加条件时,通过SN添加过程,可以将业务承载迁移到NR基站上。上述过程中会涉及到安全推衍变更及安全密钥的选择。其中,NR侧的安全密钥为S-KgNB,该安全密钥可以是LTE基站根据安全KeNB推衍出来后传递给NR基站的。
在一示例性实施例中,NR基站可以负责完成以下安全功能:选择NR侧使用的安全密钥;推衍出PCE上NR PDCP层执行的完整性保护和加密密钥。
在一示例性实施例中,在终端(UE)初始接入LTE基站的安全过程中,核心网可以在初始UE上下文建立请求消息中携带安全密钥KeNB、UE的LTE安全能力及NR安全能力传送给LTE基站(eNB)。其中,初始UE上下文建立请求消息中可以不携带UE的NR安全能力,若其中没有携带UE的NR安全能力,则eNB可以根据UE的LTE安全能力来创建NR安全能力。例如,针对NREncryption Algorithms(NR加密算法),可以将NEA0,128-NEA1,128-NEA2,128-NEA3设置为与EEA0,128-EEA1,128-EEA2,128-EEA3相同;针对NR Integrity Protection Algorithms(NR完整性保护算法),可以将NIA0,128-NIA1,128-NIA2,128-NIA3设置为与EIA0,128-EIA1,128-EIA2,128-EIA3相同;其余bit(位)可以设置为0。然而,本申请对此并不限定。
其中,对于4G终端,可以将PDCP锚点选择在LTE基站(eNB)上,即,使用安全密钥KeNB推衍完整性保护密钥KRRCint及加密密钥KRRCenc来配置PDCP的安全。对于5G终端的SRB1、SRB2承载,可以将PDCP锚点选择在LTE基站上,即,使用安全密钥KeNB推衍完整性保护密钥KRRCint及加密密钥KRRCenc来配置PDCP的安全。对于5G终端的数据业务,可以将PDCP锚点选择在PCE上,即选择使用NR PDCP。在LTE侧初始建立时选择使用LTE的安全密钥,即使用安全密钥KeNB推衍UP加密密钥KUPenc配置PCE上PDCP的安全。其中,eNB对于每个5G终端初始建立时选择的安全密钥KeNB,绑定一个SCG_Counter,并初始设置SCG_Counter=0。
在一示例性实施例中,在LTE基站(MN)给终端添加SN(gNB)的过程中,LTE基站可以根据安全密钥KeNB及SCG_Counter推衍S-KgNB。在SN添加过程,发送携带S-KgNB及KeNB的SN添加请求消息给gNB。SN(gNB)会根据和MN是否跨PCE(即是否和MN选择同一个PCE)来选择一个安全密钥。其中,安全密钥的选择原则可以为:当MN和SN共PCE(即MN和SN给UE选择同一个PCE)时,SN可以使用KeNB作为安全密钥,MN发给UE的RRC连接重配置消息中SecurityConfig.keyToUse信元选择安全密钥KeNB;当MN和SN跨PCE(即MN和SN给UE选择不同的PCE)时,SN选择使用S-KgNB作为安全密钥,MN发给UE的RRC连接重配置消息中SecurityConfig.keyToUse选择安全密钥S-KgNB。需要说明的是,对于SCG_Counter,后续每添加一次双链接,SCG_Counter的值可以加1。
在一示例性实施例中,在MN(LTE基站)给终端删除SN(NR基站)时,UE会回到LTE侧,统一使用LTE的安全。其中,MN和SN共PCE(即MN和SN给UE选择同一个PCE)时,在SN删除过程中,PDCP锚点可以不变,则LTE基站可以采用安全密钥不变的处理方式;当MN和SN不共PCE时,在SN删除过程中,PDCP锚点会发生变更,存在一个安全密钥从S-KgNB到KeNB的变更过程。
在一示例性实施例中,安全密钥更新的过程可以包含核心网触发安全密钥KeNB更新及SN侧请求的安全密钥更新。当核心网触发安全密钥KeNB更新时,LTE基站(MN)可以根据更新后的安全密钥KeNB及SCG_Counter重新推衍S-KgNB,并通过SN修改(Modification)过程触发SN侧安全更新。当SN发生PDCP Counter环绕时,会请求MN触发安全密钥更新。MN可以根据当前的安全密钥KeNB及SCG_Counter重新推衍S-KgNB,并通过SN Modification过程触发SN侧安全更新。在上述两种情况的安全密钥更新过程中,SN可以根据选择的安全密钥(KeNB或者S-KgNB),推衍安全信息(比如包括:RRC加密密钥KRRCenc、用户面加密密钥KUPenc及RRC完整性密钥KRRCint),并将推衍得到的安全信息发送给PCE,触发PDCP重建立,生效新的安全信息。其中,在安全密钥更新过程中,PCE接收到新的安全信息后,不立即触发PDCP重建立,而是等接收到LTE基站或者NR基站发送的关闸消息后,触发PDCP重建立,同时停止下行数据的发送和上行数据的接收。如此,可以避免PDCP重建立的时机早于RLC重建立时机,老的数据采用新的安全信息进行处理,导致解密失败,数据丢弃。另外,当LTE基站或NR基站检测到UE的RRC连接重配置完成消息后,给PCE发送开闸消息,PCE接收到开闸消息后,在后续的数据传输中,使用新的安全信息。如此,在UE生效新的安全信息过程中,停止数据的处理,避免新老安全信息的交织导致的数据丢弃。
需要说明的是,在本实施例的安全处理过程中,可以根据UE的安全能力和基站本地配置的算法优先级,匹配使用的安全算法。关于LTE侧及NR侧安全信息的推衍算法可以遵守3GPP的33401协议,故于此不再赘述。
图6为本申请实施例提供的一种用于支持双连接的安全处理方法的流程图。本实施例提供的安全处理方法,可以应用于作为终端的MN的LTE基站或NR基站。如图6所示,本实施例提供的安全处理方法,包括:
步骤S10、终端的MN在与该终端建立通信连接时,给该终端选择部署有NR PDCP层的一个PCE作为PDCP锚点;
步骤S11、MN给该终端的SN发送SN添加请求消息,其中,SN添加请求消息至少携带MN的安全密钥、MN给该终端选择的PCE的信息(比如,PCE ID);
步骤S12、MN接收SN发送的SN添加确认消息,其中,SN添加确认消息携带对MN的安全密钥的选择信息,用于指示SN给该终端选择的PCE与MN给该终端选择的PCE相同;
步骤S13、MN向终端发送RRC连接重配置消息,其中携带对MN的安全密钥的选择信息。
其中,当MN为LTE基站,则SN为NR基站;当MN为NR基站,则SN为LTE基站。本实施例中,终端可以为5G终端。
在一示例性实施例中,MN所选择的PCE上给该终端的无线承载创建的PDCP实体可以使用根据MN的安全密钥推衍得到的安全信息(比如,包括RRC完整性密钥KRRCint、RRC加密密钥KRRCenc以及用户面加密密钥KUPenc),且在该终端的SN给该终端选择该PCE作为PDCP锚点后,该PCE上的该PDCP实体使用的安全信息不变。其中,当MN为LTE基站,则MN的安全密钥为KeNB
在一示例性实施例中,本实施例的安全处理方法还可以包括:MN确定给该终端删除该SN时,仍给该终端选择该PCE作为PDCP锚点,向该PCE发送承载建立请求消息,用于指示该PCE上的该PDCP实体使用的安全信息不变;MN接收到该PCE发送的承载建立响应消息后,向该终端发送RRC连接重配置消息,其中携带对MN的安全密钥的选择信息。
在一示例性实施例中,本实施例的安全处理方法还可以包括:MN接收到核心网下发的新的安全密钥后,或者接收到SN发送的SN修改要求消息后,向SN发送SN修改请求消息,其中携带新的安全密钥;
MN接收到SN发送的SN修改确认消息后,向终端发送RRC连接重配置消息,并向该PCE发送关闸消息,其中,关闸消息用于指示该PCE暂停向MN发送该终端的数据以及暂停从MN接收该终端的数据,并指示该PCE触发PDCP重建立;
MN接收到该终端发送的RRC连接重配置完成消息后,向该PCE发送开闸消息,其中,开闸消息用于指示该PCE使用新的安全信息开始向MN发送该终端的数据以及从MN接收该终端的数据,新的安全信息由SN根据新的安全密钥推衍得到。
在一示例性实施例中,终端的MN为LTE基站,SN为NR基站;则MN给该终端发送的RRC连接重配置消息中携带SecurityConfig.keyToUse信元,其中选择LTE基站的安全密钥KeNB
图7为本申请实施例提供的另一种用于支持双连接的安全处理方法的流程图。本实施例提供的安全处理方法,可以应用于作为终端的SN的LTE基站或NR基站。如图7所示,本实施例提供的安全处理方法,包括:
S20、终端的SN接收MN发送的SN添加请求消息后,给该终端选择部署有NR PDCP层的一个PCE作为PDCP锚点;其中,SN选择的PCE与MN给该终端选择的PCE相同;
步骤S21、SN向该PCE发送承载建立请求消息;
步骤S22、SN接收到该PCE发送的承载建立响应消息后,向MN发送SN添加确认消息,其中携带对MN的安全密钥的选择信息。
其中,当MN为LTE基站,则SN为NR基站;当MN为NR基站,则SN为LTE基站。本实施例中,终端可以为5G终端。
在一示例性实施例中,SN和MN所选的PCE上给该终端的无线承载创建的PDCP实体使用根据MN的安全密钥推衍得到的安全信息(比如,包括RRC完整性密钥KRRCint、RRC加密密钥KRRCenc以及用户面加密密钥KUPenc)。其中,当MN为LTE基站,则MN的安全密钥为KeNB
在一示例性实施例中,本实施例的安全处理方法还可以包括:SN接收到MN发送的SN修改请求消息后,根据SN修改请求消息中携带的新的安全密钥,推衍出新的安全信息,并向该PCE发送携带新的安全信息的承载建立请求消息;SN接收到该PCE发送的承载建立响应消息后,向MN发送SN修改确认消息,并向该终端发送RRC连接重配置消息;SN向该PCE发送关闸消息,其中,关闸用于指示指示该PCE暂停向SN发送该终端的数据以及暂停从SN接收该终端的数据,并指示该PCE触发PDCP重建立;SN接收到该终端发送的RRC连接重配置完成消息后,向该PCE发送开闸消息,其中,开闸消息用于指示该PCE使用新的安全信息开始向SN发送该终端的数据以及从SN接收该终端的数据。
图8为本申请实施例提供的另一种用于支持双连接的安全处理方法的流程图。本实施例提供的安全处理方法,可以应用于部署有NR PDCP层的PCE。如图8所示,本实施例提供的安全处理方法,包括:
步骤S30、PCE接收LTE基站或NR基站发送的承载建立请求消息;
步骤S31、PCE根据承载建立请求消息携带的承载信息,查询到承载信息对应的PDCP实体,并根据承载建立请求消息是否携带安全信息,确定承载信息对应的PDCP实体使用的安全信息是否变化。
在一示例性实施例中,在MN给终端选择一个PCE作为PDCP锚点,且SN也给该终端选择该PCE作为PDCP锚点时,PCE接收到SN发送的承载建立请求消息后,根据承载建立请求消息携带的承载信息,可以查询到对应的PDCP实体。其中,MN可以为LTE基站,SN为NR基站,或者,MN为NR基站,SN为LTE基站。
在一示例性实施例中,在MN和SN给一个终端选择同一个PCE作为PDCP锚点后,MN确定给该终端删除该SN时,仍给该终端选择该PCE作为PDCP锚点后,该PCE接收到MN发送的承载建立请求消息后,根据承载建立请求消息携带的承载信息,可以查询到对应的PDCP实体。其中,MN可以为LTE基站,SN为NR基站,或者,MN为NR基站,SN为LTE基站。
在一示例性实施例中,在MN和SN给一个终端选择同一个PCE作为PDCP锚点后,当核心网触发安全密钥更新,或者SN触发安全密钥更新后,该PCE接收到SN发送的承载建立请求消息后,根据承载建立请求消息携带的承载信息,可以查询到对应的PDCP实体。其中,MN可以为LTE基站,SN为NR基站,或者,MN为NR基站,SN为LTE基站。
在一示例性实施例中,步骤S31中,根据承载建立请求消息是否携带安全信息,确定承载信息对应的PDCP实体使用的安全信息是否变化可以包括:当承载建立请求消息携带安全信息,PCE确定承载信息对应的PDCP实体使用的安全信息发生变化,该PDCP实体需要重建立;当承载建立请求消息没有携带安全信息,PCE确定承载信息对应的PDCP实体使用的安全信息不变。
在一示例性实施例中,当承载建立请求消息携带安全信息,本实施例的安全处理方法还可以包括:PCE在接收到LTE基站或NR基站发送的关闸消息后,暂停下行数据的发送和上行数据的接收,并触发PDCP重建立过程;PCE接收到LTE基站或NR基站的开闸消息后,给重建后的PDCP实体生效上述承载建立请求消息携带的安全信息(即,生效新的安全信息),开始下行数据的发送和上行数据的接收。
图9为本申请实施例提供的一种示例性实施例的示意图。本实施例说明4G终端接入图5所示架构的安全过程。如图9所示,4G终端接入的安全处理过程包括以下步骤:
步骤101、终端(UE)向LTE基站发起RRC接入请求,随机接入成功后进入Msg3流程。
步骤102至步骤103、LTE基站接收到UE的RRC连接建立请求消息后,选择LTE PDCP实体作为SRB1的安全锚点,并给UE下发RRC连接建立消息。
步骤104至步骤105、LTE基站接收到UE的RRC连接建立完成消息后,给核心网发送初始UE消息(Initial UE message),等待核心网发送的初始UE上下文建立请求消息。
步骤106、LTE基站接收到核心网的初始UE上下文建立请求消息;其中,初始UE上下文建立请求消息中可以携带安全密钥KeNB、UE的LTE安全能力。
步骤107、LTE基站向UE发送能力查询请求消息,以便查询UE能力;在本示例中,LTE基站接收到UE的能力响应消息后,确认该UE为4G终端。
步骤108、LTE基站根据初始UE上下文建立请求消息中携带的UE的LTE安全能力及本地配置的安全算法优先级,确定UE使用的安全算法(比如,匹配优先级最高的安全算法)。LTE基站可以通过Command命令向UE发送该确定使用的安全算法。
步骤109、LTE基站根据安全算法、初始UE上下文建立请求消息中携带的安全密钥KeNB以及安全协议定义的公式,推衍RRC加密密钥KRRCenc、RRC完整性保护密钥(简称为完保密钥)KRRCint、以及UP加密密钥KUPenc。LTE基站可以使用选定的安全算法及推衍出来的密钥,配置SRB1承载、SRB2承载及DBR承载的PDCP实体的安全。
步骤110、LTE基站回复UE上下文建立响应消息给核心网。
图10为本申请实施例提供的一种示例性实施例的示意图。本实施例说明5G终端接入图5所示架构的安全过程。其中,LTE基站可以包括LTE控制面模块和LTE用户面模块。如图10所示,5G终端接入的安全处理过程包括以下步骤:
步骤201、终端(UE)向LTE基站发起RRC接入请求,随机接入成功后进入Msg3流程。
步骤202至步骤203、LTE基站的LTE控制面模块接收到RRC连接建立请求消息后,选择LTE PDCP实体作为SRB1的安全锚点,给UE下发RRC连接建立消息,等待UE的RRC连接建立完成消息。
步骤204至步骤205、LTE控制面模块接收到UE的RRC连接建立完成消息后,给核心网发送初始UE消息(Initial UE message),等待核心网发送的初始UE上下文建立请求消息。
步骤206、LTE控制面模块接收到核心网的初始UE上下文建立请求消息;其中,初始UE上下文建立请求消息中可以携带安全密钥KeNB、UE的LTE安全能力及NR安全能力。
步骤207、LTE控制面模块向UE发送能力查询请求消息,以便查询UE能力;在本示例中,LTE接收到UE的能力响应消息后,确认该UE为5G终端。
步骤208、LTE控制面模块确定安全算法,推衍信令及业务使用的密钥。
在本步骤中,LTE控制面模块可以根据初始UE上下文建立请求消息中携带的UE的NR安全能力及本地配置的安全算法优先级,确定UE使用的安全算法(比如,匹配优先级最高的安全算法)。LTE基站可以通过Command命令向UE发送该确定使用的安全算法。
LTE控制面模块还可以根据安全算法、初始UE上下文建立请求消息中携带的安全密钥KeNB以及安全协议定义的公式,推衍RRC加密密钥KRRCenc、RRC完保密钥KRRCint、以及UP加密密钥KUPenc。LTE基站可以使用选定的安全算法及推衍出来的RRC加密密钥和RRC完保密钥,配置SRB1承载、SRB2承载的PDCP实体的安全。
步骤209、LTE控制面模块可以给该5G终端选择一个PCE作为安全锚点,并使用选定的安全算法及推衍出来的UP加密密钥,配置PCE上的PDCP实体的安全。
步骤210、LTE控制面模块给UE下发RRC连接重配置消息,其中SecurityConfig.keyToUse选择安全密钥KeNB
图11为本申请实施例提供的一种示例性实施例的示意图。本实施例中的终端为5G终端。在本实施例中,基于图5所示的架构,LTE基站(eNB)作为终端的MN,NR基站(gNB)作为终端的SN。终端已经功能接入LTE基站。LTE基站接收到UE的测量结果,决策添加双链接。其中,LTE基站包括LTE控制面模块和LTE用户面模块。
如图11所示,本实施例中SN添加的安全处理过程可以包括以下步骤:
步骤301、MN决策给终端添加SN。
步骤302、MN触发添加SN时,SCG_Counter=SCG_Counter+1,根据安全密钥KeNB及SCG_Counter推衍S-KgNB
需要说明的是:初始的SCG_Counter为0,在UE上下文建立时已经设置,第一次推衍时,使用SCG_Counter=0进行推衍,后续每次推衍SCG_Counter都要加1。
步骤303、MN给SN发送SN添加请求消息,其中可以携带安全密钥S-KgNB、UE的NR安全能力、KeNB及MN所关联的PCE标识(ID)。
步骤304、SN接收到SN添加请求消息后,给UE选择PCE。
在本示例中,SN可以根据SN添加请求消息携带的MN所关联的PCE标识,给UE选择和MN相同的PCE。
步骤305、SN根据PCE的选择情况,确定使用的安全密钥。
其中,若SN给UE选择的PCE与MN选择的PCE不是同一个PCE,则选择使用S-KgNB;若SN给UE选择的PCE与MN选择的PCE是同一个PCE,则选择使用KeNB
在本示例中,以SN给UE选择的PCE与MN选择的是同一个PCE为例进行说明,即SN当前选择的安全密钥是KeNB
在本步骤中,若SN选择使用S-KgNB,则根据SN添加请求消息中UE的NR安全能力及本地配置的安全算法优先级,确定该UE使用的安全算法,并根据选定的安全算法及安全密钥S-KgNB,使用NR的推衍函数,推衍加密密钥(包括RRC加密密钥和UP加密密钥)及完保密钥;若SN选择使用KeNB,则不用推衍安全信息(加密密钥及完保密钥)。
步骤306、SN组织DRB建立请求消息,并给选择的PCE发送DRB建立请求消息。
其中,当安全密钥使用S-KgNB时,SN给PCE发送的DRB建立请求消息中携带安全信息(比如,包括选定的安全算法、加密密钥及完保密钥);当安全密钥使用KeNB时,DRB建立请求消息中可以不用携带安全信息。
在本示例中,SN发送的DRB建立请求消息中可以携带UE的数据承载ID,不用携带安全信息。
步骤307至步骤308、PCE接收到DRB建立请求消息后,查找承载实例,并给SN回复DRB建立响应消息。
其中,PCE可以根据DRB建立请求消息中携带的数据承载ID查找已建立的承载实例。若找不到对应的承载实例,则新建承载实例;若找到对应的承载实例,且DRB建立请求消息中携带了安全信息,则重建对应的PDCP实体;若找到对应的承载实例,且DRB建立请求消息中没有携带安全信息,则不需要重建对应的PDCP实体。
本示例中,由于DRB建立请求消息中没有携带安全信息,且根据数据承载ID可以找到对应的承载实例,则可以不用重建对应的PDCP实体。
步骤309、SN接收到DRB建立响应消息后,给MN(即LTE基站)回复SN添加确认消息(SN ADDITION ACKNOWLEDGE),其中,“SeNB to MeNB Container”的SecurityConfig.keyToUse选择安全密钥KeNB
步骤310、LTE控制面模块接收到SN ADDITION ACKNOWLEDGE消息后,解析消息的“SeNB to MeNB Container”的SecurityConfig.keyToUse;若解析得到KeNB,则认为该UE使用的安全信息没变;若解析得到S-KgNB,则认为该UE使用的安全信息变更。
在本示例中,LTE控制面模块解析得到KeNB,则认为UE使用的安全信息没变。
步骤311、LTE控制面模块给UE下发RRC连接重配置(RRC ConnectionReconfiguration)消息,将SN传输的SeNB to MeNB Container透传给UE。
步骤312、LTE控制面模块给LTE用户面模块发送DATA_PAUSE消息,指示安全没变更;LTE用户面模块对于安全不变的承载,不做任何处理。
步骤313、UE接收到RRC连接重配消息后,触发UE在NR侧的接入,即随机接入gNB。同时,UE给LTE基站回复RRC连接重配置完成消息。
步骤314、LTE控制面模块接收到UE的RRC连接重配置完成消息后,删除LTE侧的SCG承载。
在本实施例中,在SN添加过程中安全信息不用变更,避免安全变更过程中的数据断流,提升了用户的业务体验。
图12为本申请实施例提供的一种示例性实施例的示意图。本实施例中的终端为5G终端。在本实施例中,基于图5所示的架构,LTE基站作为终端的MN,NR基站作为该终端的SN。终端已经功能接入LTE基站。LTE基站接收到UE的测量结果,决策添加双连接。其中,LTE基站包括LTE控制面模块和LTE用户面模块。
如图12所示,本实施例中SN添加的安全处理过程可以包括以下步骤:
步骤401、MN决策添加SN。
步骤402、MN触发添加SN时,SCG_Counter=SCG_Counter+1,根据KeNB及SCG_Counter推衍S-KgNB
需要说明的是:初始的SCG_Counter为0,在UE上下文建立时已经设置,第一次推衍时,使用SCG_Counter=0进行推衍,后续每次推衍SCG_Counter都要加1。
步骤403、MN给SN发送SN添加请求消息,其中可以携带安全密钥S-KgNB、UE的NR安全能力、KeNB及MN所关联的PCE标识(ID)。
步骤404、SN接收到SN添加请求消息后,给UE选择PCE。
在本示例中,SN可以给UE选择和MN侧不同的PCE。
步骤405、SN根据PCE的选择情况,确定使用的安全密钥,确定安全信息(包括选定安全算法、推衍加密密钥及完保密钥)。
其中,若SN给UE选择的PCE与MN选择的PCE不是同一个PCE,则选择使用S-KgNB;若SN给UE选择的PCE与MN选择的PCE是同一个PCE,则选择使用KeNB
本示例中,以SN给UE选择的PCE与MN选择的PCE不是同一个PCE为例进行说明,即SN当前选择的安全密钥是S-KgNB
在本步骤中,根据SN添加请求消息中的NR安全能力及本地配置的安全算法优先级,确定该UE使用的安全算法。根据选定的安全算法及安全密钥S-KgNB,使用NR的推衍函数,推衍加密密钥及完保密钥。
步骤406、SN组织DRB建立请求消息,并给选择的PCE发送DRB建立请求消息。
其中,DRB建立请求消息中可以携带安全信息,包括选定的安全算法及推衍得到的密钥。
步骤407至步骤408、PCE接收到DRB建立请求消息后,查找承载实例,并给SN回复DRB建立响应消息。
其中,若PCE找不到对应的承载实例,则新建承载实例;若找到对应的承载实例,且DRB建立请求消息中携带了安全信息,则重建对应的PDCP实体;若找到对应的承载实例,且DRB建立请求消息中没有携带安全信息,则不需要重建PDCP实体。
在本示例中,PEC可以按照安全配置新建承载实例。DRB建立响应消息中可以携带新建的承载的承载ID。
步骤409、SN接收到DRB建立响应消息后,给MN(即LTE基站)回复SN添加确认消息(SN ADDITION ACKNOWLEDGE),其中,“SeNB to MeNB Container”的SecurityConfig.keyToUse选择S-KgNB
步骤410、LTE控制面模块接收到SN ADDITION ACKNOWLEDGE消息后,解析消息的“SeNB to MeNB Container”的SecurityConfig.keyToUse;若解析得到KeNB,则认为UE使用的安全信息没变;若解析得到S-KgNB,则认为UE使用的安全信息变更。
本实施例中,LTE控制面模块解析得到S-KgNB,则认为UE使用的安全信息变更。LTE控制面模块在安全变更时,对于SS承载分配新的逻辑信道ID。
步骤411、LTE控制面模块给UE发送RRC连接重配置消息,其中,将SN侧的SeNB toMeNB Container透传给UE。而且,将sk-Counter-r15设置为SCG_Counter;对于SS承载reestablishRLC-r15设置为true;logicalChannelIdentity填写为新分配的逻辑信道ID。
步骤412、LTE控制面模块给LTE用户面模块发送DATA_PAUSE请求消息,指示安全变更。LTE用户面模块接收到DATA_PAUSE请求消息后,给源PCE(即MN所选的PCE)发送关闸消息;等待一段时间后,向上投递数据,RLC重建立;LTE用户面模块给LTE控制面回复DATA_PAUSE响应消息。
其中,源PCE接收到关闸消息后,停止下行数据下发和上行数据的接收。
LTE控制面模块接收到DATA_PAUSE响应消息后,对于SS承载发送数据生效(SWITCHIND)消息给LTE用户面模块,触发新的逻辑信道ID生效。
步骤413、LTE控制面模块给源PCE发送数据反传指示,触发源PCE到目标PCE(即SN所选的PCE)的数据反传。
步骤414、UE接收到RRC连接重配置消息后,触发UE在NR侧的接入。同时,UE给LTE基站回复RRC连接重配置完成消息。
步骤415、LTE用户面模块识别到RRC连接重配置完成消息后,对于SS承载,给目标PCE发送开闸消息。
步骤416、LTE控制面模块接收到UE的RRC连接重配置完成消息后,删除LTE侧的SCG承载。
步骤417、目标PCE接收到开闸消息后,开始下行数据发送,上行数据的接收,并生效新的安全信息。
图13为本申请实施例提供的一种示例性实施例的示意图。本实施例中的终端为5G终端。在本实施例中,基于图5所示的架构,LTE基站作为终端的MN,NR基站作为该终端的SN。基于图11所示的实施例,MN和SN选择同一个PCE给该终端建立双连接。其中,LTE基站包括LTE控制面模块和LTE用户面模块。
如图13所示,本实施例中SN删除的安全过程可以包括以下步骤:
步骤501、SN添加完成后,MN检测到SCG失败(Failure),触发SN删除。
步骤502、LTE控制面模块对UE重新做接纳,给该UE选择PCE。
本实施例中,可以选择和SN侧相同的PCE。
在MN和SN共PCE(即MN和SN给UE选择同一PCE)时,如果SN之前使用安全密钥S-KgNB,则认为安全变更,即UE使用的安全信息变更;如果之前SN使用的安全密钥是KeNB,则认为安全不变,即UE使用的安全信息不变。
本实施例基于图11所示的SN添加过程进行SN删除,其中SN使用的安全密钥是KeNB,则安全信息不变。
步骤503、LTE控制面模块组织DRB建立请求消息,发送DRB建立请求消息给选择的PCE,其中,DRB建立请求消息中不携带安全信息。
步骤504至步骤505、PCE接收到DRB建立请求消息后,查找承载实例,给LTE控制面模块回复DRB建立响应消息。
其中,PCE可以根据DRB建立请求消息中携带的数据承载ID查找已建立的承载实例。若找不到对应的承载实例,则新建承载实例;若找到对应的承载实例,且DRB建立请求消息中携带了安全信息,则重建对应的PDCP实体;若找到对应的承载实例,且DRB建立请求消息中没有携带安全信息,则不需要重建PDCP实体。
本示例中,由于DRB建立请求消息中没有携带安全信息,且根据数据承载ID可以找到对应的承载实例,则可以不用重建PDCP实体。
步骤506、LTE控制面模块接收到DRB建立响应消息后,给UE发送RRC连接重配置消息,其中,SecurityConfig.keyToUse选择安全密钥KeNB
步骤507、LTE控制面模块给LTE用户面模块发送DATA_PAUSE消息,指示安全不变,则LTE用户面模块不做任何处理。
步骤508、LTE控制面模块给SN发送SN释放请求消息,触发SN的释放。
本实施例中,在SN删除过程中安全信息不用变更,避免安全变更过程中的数据断流,提升了用户的业务体验。
图14为本申请实施例提供的一示例性实施例的示意图。本实施例中的终端为5G终端。在本实施例中,基于图5所示的架构,LTE基站作为终端的MN,NR基站作为该终端的SN。基于图12所示的实施例,MN和SN跨PCE给该终端建立双连接,即MN和SN给该终端选择不同的PCE。其中,LTE基站包括LTE控制面模块和LTE用户面模块。
如图14所示,本实施例中SN删除的安全处理过程可以包括以下步骤:
步骤601、SN添加完成后,MN检测到UE的SCG Failure,触发SN删除。
步骤602、LTE控制面模块对UE重新做接纳,给该UE选择PCE。
本实施例中,可以选择和SN侧相同的PCE。
在MN和SN共PCE(即MN和SN给UE选择同一个PCE)时,如果SN之前使用安全密钥S-KgNB,则认为安全变更;如果之前SN使用的安全密钥是KeNB,则认为安全不变。
本实施例基于图12所示的SN添加过程进行SN删除,其中SN之前使用的安全密钥是S-KgNB,则在SN删除过程中,安全信息变更。
步骤603、LTE控制面模块组织DRB建立请求消息,发送DRB建立请求消息给MN选择的PCE,其中,DRB建立请求中携带安全信息(包括所选的安全算法、基于LTE侧的安全密钥KeNB推衍的加密密钥和完保密钥)。
步骤604至步骤605、PCE接收到DRB建立请求消息后,查找承载实例,给LTE控制面模块回复DRB建立响应消息。
其中,PCE可以根据DRB建立请求消息中携带的数据承载ID查找已建立的承载实例。若找不到对应的承载实例,则新建承载实例;若找到对应的承载实例,且DRB建立请求消息中携带了安全信息,则重建对应的PDCP实体;若找到对应的承载实例,且DRB建立请求消息中没有携带安全信息,则不需要重建PDCP实体。
本示例中,由于DRB建立请求消息中携带了安全信息,且根据数据承载ID可以找到对应的承载实例,则可以重建对应的PDCP实体。
步骤606、LTE控制面模块接收到DRB建立响应消息后,给UE发送RRC连接重配置消息,其中SecurityConfig.keyToUse选择安全密钥KeNB
步骤607、LTE控制面模块给LTE用户面模块发送DATA_PAUSE请求消息,指示安全变更。LTE用户面模块接收到DATA_PAUSE请求消息后,给PCE发送关闸消息;等待一段时间,向上投递数据,RLC重建立;给LTE控制面模块回复DATA_PAUSE响应消息。PCE接收到关闸消息后,停止下行数据的下发和上行数据的接收。
步骤608、LTE控制面模块接收到DATA_PAUSE响应消息后,对于SS承载发送SWITCHIND消息给LTE用户面模块,并触发新的逻辑信道ID生效。
步骤609、LTE用户面模块识别到RRC连接重配置完成消息后,对于SS承载,给PCE发送开闸消息。
步骤610、PCE接收到开闸消息后,开始下行数据的发送,上行数据的接收,并生效新的安全信息。
步骤611、LTE控制面模块给SN发送SN释放请求消息,触发SN的释放。
图15为本申请实施例提供的一示例性实施例的示意图。本实施例中的终端为5G终端。在本实施例中,基于图5所示的架构,LTE基站作为终端的MN,NR基站作为该终端的SN。基于图11所示的实施例,MN和SN选择同一个PCE给该终端建立双连接。其中,LTE基站包括LTE控制面模块和LTE用户面模块。
如图15所示,本实施例中SN删除的安全处理过程可以包括以下步骤:
步骤701、SN添加完成后,MN检测到SCG Failure,触发SN删除。
步骤702、LTE控制面模块对UE重新做接纳,给该UE选择PCE。
本实施例中,可以选择和SN侧不共PCE(即,MN选择的PCE和SN所选的PCE不同),则认为UE使用的安全信息变更。
步骤703、LTE控制面模块组织DRB建立请求消息,发送DRB建立请求消息给MN所选的PCE,其中,DRB建立请求消息中携带安全信息(包括所选的安全算法、基于LTE侧的安全密钥KeNB推衍的加密密钥和完保密钥)。
步骤704至步骤705、PCE接收到DRB建立请求消息后,查找承载实例,给LTE控制面模块回复DRB建立响应消息。
其中,PCE可以根据DRB建立请求消息中携带的数据承载ID查找已建立的承载实例。若找不到对应的承载实例,则新建承载实例;若找到对应的承载实例,且DRB建立请求消息中携带了安全信息,则重建对应的PDCP实体;若找到对应的承载实例,且DRB建立请求消息中没有携带安全信息,则不需要重建PDCP实体。
在本示例中,由于PCE查找不到对应的承载实例,则新建承载实例。
步骤706、LTE控制面模块接收到DRB建立响应消息后,给UE发送连接RRC连接重配置消息,其中,SecurityConfig.keyToUse选择安全密钥KeNB
步骤707、LTE控制面模块给LTE用户面模块发送DATA_PAUSE请求消息,指示安全变更。LTE用户面模块接收到DATA_PAUSE请求消息后,给源PCE(即SN所选的PCE)发送关闸消息;等待一段时间,向上投递数据,RLC重建立;给LTE控制面模块回复DATA_PAUSE响应消息。源PCE接收到关闸消息后,停止下行数据的下发和上行数据的接收。
步骤708、LTE控制面模块接收到DATA_PAUSE响应消息后,对于SS承载发送SWITCHIND消息给LTE用户面模块,并触发新的逻辑信道ID生效。
步骤709、LTE控制面模块给源PCE发送数据反传指示,触发源PCE到目标PCE(即MN所选的PCE)的数据反传。
步骤710、LTE用户面模块识别到RRC连接重配置完成消息后,对于SS承载,给目标PCE发送开闸消息。
步骤711、目标PCE接收到开闸消息后,开始下行数据的发送,上行数据的接收,并生效新的安全信息。
步骤712、LTE控制面模块给SN侧发送SN释放请求消息,触发SN的释放。
图16为本申请实施例提供的一种示例性实施例的示意图。本实施例中的终端为5G终端。在本实施例中,基于图5所示的架构,LTE基站可以作为终端的MN,NR基站作为该终端的SN。基于图11所示的实施例,MN和SN共一个PCE建立双连接,即MN和SN给该终端选择同一个PCE作为PDCP锚点。其中,LTE基站包括LTE控制面模块和LTE用户面模块。
如图16所示,本实施例中的安全变更过程可以包括以下步骤:
步骤801、MN接收到核心网下发的UE上下文修改请求消息,其中携带了新的安全密钥KeNB,开始触发安全更新过程。
步骤802、LTE控制面模块设置SCG_Counter=0;根据SCG_Counter及新的KeNB推衍新的S-KgNB
步骤803、MN给SN发送SN修改请求(SN MODIFICATION REQUEST)消息,其中可以携带S-KgNB及KeNB
步骤804至步骤805、SN接收到SN修改请求消息后,根据安全密钥及安全算法,推衍加密密钥和完保密钥,组织并发送DRB建立请求消息,其中携带安全信息(包括安全算法及推衍得到的密钥)。
其中,若当前PCE使用的安全密钥为S-KgNB,则根据新的S-KgNB及当前使用的安全算法推衍新的加密密钥及完保密钥;若当前PCE使用的安全密钥为KeNB,则根据新的KeNB及当前使用的安全算法推衍新的加密密钥及完保密钥。
步骤806至步骤807、PCE接收到DRB建立请求消息后,查找承载实例,给SN回复DRB建立响应消息。
其中,PCE可以根据DRB建立请求消息中携带的数据承载ID查找已建立的承载实例。如果找不到对应的承载实例,则新建承载实例;如果找到对应的承载实例,且DRB建立请求消息中携带了安全信息,则重建对应的PDCP实体;如果找到对应的承载实例,且DRB建立请求消息中没有携带安全信息,则不需要重建PDCP实体。
本实施例中,由于DRB建立请求消息中携带了安全信息,且根据数据承载ID可以找到对应的承载实例,则需要重建对应的PDCP实体。
步骤808、SN接收到DBR建立响应消息后,给MN回复SN修改确认消息,其中指示UE承载的PDCP重建立及小区内切换。
步骤809、MN接收到SN修改确认消息后,给UE发送RRC连接重配置消息。
其中,如果SN使用安全密钥KeNB,则可以指示UE做小区内切换。如果SN使用安全密钥S-KgNB,则sk-Counter-r15可以设置为SCG_Counter;对于SS承载reestablishRLC-r15可以设置为true;同时指示UE做小区内切换。
步骤810、LTE控制面模块给LTE用户面模块发送DATA_PAUSE消息,指示安全变更;LTE用户面模块接收到DATA_PAUSE请求消息后,给PCE发送关闸消息;LTE用户面模块等待一段时间,向上投递数据,RLC重建立,给LTE控制面模块回复DATA_PAUSE响应消息。
步骤811、PCE接收到关闸消息后,停止下行数据的下发和上行数据的接收;并触发PDCP重建立。
步骤812至步骤813、LTE用户面模块识别到UE发送的RRC连接重配置完成消息后,对于SS承载,给PCE发送开闸消息。
步骤814、PCE接收到开闸消息后,开始下行数据的发送,上行数据的接收,并生效新的安全信息。
需要说明的是,NR侧用户面模块的处理过程可以参照LTE用户面模块的处理,故于此不再赘述。
本实施例中,在MN触发的安全更新过程,采用将PDCP重建立的时间点设置在接收到关闸消息后,将新的安全信息的启用时间点设置在接收到开闸消息后,从而避免PDCP重建立的时机早于RLC重建立时机,老的数据采用新的安全信息进行处理,导致解密失败,数据丢弃。
图17为本申请实施例提供的一种示例性实施例的示意图。本实施例中的终端为5G终端。在本实施例中,基于图5所示的架构,LTE基站可以作为终端的MN,NR基站作为该终端的SN。基于图11所示的实施例,MN和SN共一个PCE建立双连接,即MN和SN给该终端选择同一个PCE作为PDCP锚点。其中,LTE基站包括LTE控制面模块和LTE用户面模块。
如图17所示,本实施例中安全变更过程可以包括以下步骤:
步骤901、SN检测到PDCP Counter环绕时,给MN发送SN修改要求(Required)消息,其中指示请求安全密钥更新。
步骤902、MN侧接收到该请求后,如果SN当前使用的安全密钥是KeNB,则更新KeNB,实施流程可以参照图16所示的实施例;如果SN当前使用的安全密钥是S-KgNB,则可以按照本实施例中描述的以下方式进行处理。
本实施例中,LTE控制面模块设置SCG_Counter=SCG_Counter+1;根据SCG_Counter及KeNB推衍新的S-KgNB
步骤903、MN给SN发送SN修改请求消息,其中携带新的S-KgNB
步骤904至步骤905、SN接收到SN修改请求消息后,根据安全密钥及安全算法,推衍加密密钥和完保密钥,组织并发送DRB建立请求消息,其中携带安全信息(包括安全算法及推衍得到的加密密钥和完保密钥)。
本实施例中,根据新的S-KgNB及当前使用的安全算法,推衍新的加密密钥及完保密钥,组织DRB建立请求消息,其中携带新的安全信息。
步骤906至步骤907、PCE接收到DRB建立请求消息后,查找承载实例,给SN回复DRB建立响应消息。
其中,PCE可以根据DRB建立请求消息中携带的数据承载ID查找已建立的承载实例。如果找不到对应的承载实例,则新建承载实例;如果找到对应的承载实例,且DRB建立请求消息中携带了安全信息,则重建对应的PDCP实体;如果找到对应的承载实例,且DRB建立请求消息中没有携带安全信息,则不需要重建PDCP实体。
本实施例中,由于DRB建立请求消息中携带了安全信息,且根据数据承载ID可以找到对应的承载实例,则需要重建对应的PDCP实体。
步骤908、SN接收到DBR建立响应消息后,给MN回复SN修改确认消息,其中指示UE承载的PDCP重建立及小区内切换。
步骤909、MN侧接收到SN修改确认消息后,针对SS承载分配新的逻辑信道ID,给UE发送RRC连接重配置消息,其中,sk-Counter-r15可以设置为SCG_Counter;对于SS承载reestablishRLC-r15可以设置为true;logicalChannelIdentity填写为新分配的逻辑信道ID。
步骤910、LTE控制面模块给用户面发送DATA_PAUSE消息,指示安全变更;LTE用户面模块接收到DATA_PAUSE请求消息后,给PCE发送关闸消息;LTE用户面模块等待一段时间,向上投递数据,RLC重建立,给LTE控制面模块回复DATA_PAUSE响应消息。
步骤911、PCE接收到关闸消息后,停止下行数据的下发和上行数据的接收,并触发PDCP重建立。
步骤912至步骤913、LTE用户面模块识别到UE发送的RRC连接重配置完成消息后,对于SS承载,给PCE发送开闸消息。
步骤914、PCE接收到开闸消息后,开始下行数据的发送,上行数据的接收,并生效新的安全信息。
需要说明的是,NR侧用户面模块的处理过程可以参照LTE用户面模块的处理,故于此不再赘述。
本实施例中,在SN触发的安全更新过程,采用将PDCP重建立的时间点设置在接收到关闸消息后,将新的安全信息的启用时间点设置在接收到开闸消息后,从而避免PDCP重建立的时机早于RLC重建立时机,老的数据采用新的安全信息进行处理,导致解密失败,数据丢弃。
图18为本申请实施例提供的一种通信设备的示意图。如图18所示,本实施例提供的通信设备180,比如,LTE基站或NR基站,包括:第一存储器1801和第一处理器1802;第一存储器1801适于存储用于支持双连接的安全处理程序,该安全处理程序被第一处理器1802执行时可以实现图6所示的安全处理方法的步骤。
需要说明的是,图18中所示的通信设备180的结构并不构成对通信设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者提供不同的部件布置。
其中,第一处理器1802可以包括但不限于微处理器(MCU,Microcontroller Unit)或可编程逻辑器件(FPGA,Field Programmable Gate Array)等的处理装置。第一存储器1801可用于存储应用软件的软件程序以及模块,如本实施例中的安全处理方法对应的程序指令或模块,第一处理器1802通过运行存储在第一存储器1801内的软件程序以及模块,从而执行各种功能应用以及数据处理,比如实现本实施例提供的安全处理方法。第一存储器1801可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些示例中,第一存储器1801可包括相对于第一处理器1802远程设置的存储器,这些远程存储器可以通过网络连接至终端设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
图19为本申请实施例提供的一种通信设备的示意图。如图19所示,本实施例提供的通信设备190,比如,LTE基站或NR基站,包括:第二存储器1901和第二处理器1902;第二存储器1901适于存储用于支持双连接的安全处理程序,该安全处理程序被第二处理器1902执行时可以实现图7所示的安全处理方法的步骤。
关于第二存储器1901和第二处理器1902的相关说明可以参照上述第一存储器1801和第一处理器1802的说明,故于此不再赘述。
图20为本申请实施例提供的一种通信设备的示意图。如图20所示,本实施例提供的通信设备200,比如,PCE,包括:第三存储器2001和第三处理器2002;第三存储器2001适于存储用于支持双连接的安全处理程序,该安全处理程序被第三处理器2002执行时可以实现图8所示的安全处理方法的步骤。
关于第三存储器2001和第三处理器2002的相关说明可以参照上述第一存储器1801和第一处理器1802的说明,故于此不再赘述。
此外,本申请实施例还提供一种计算机可读介质,存储有用于支持双连接的安全处理程序,该安全处理程序被处理器执行时实现上述安全处理方法的步骤,比如图6、图7或图8所示的安全处理方法的步骤。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、***、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。

Claims (21)

1.一种用于支持双连接的安全处理***,包括:
包协同操作单元PCE、长期演进LTE基站以及新空口NR基站;所述LTE基站和NR基站分别连接所述PCE;所述PCE上部署有NR分组数据汇聚协议PDCP层;
当一终端在所述LTE基站和所述NR基站建立双连接,所述终端的主节点MN和辅节点SN给所述终端选择同一个PCE作为PDCP锚点;其中,所述LTE基站为MN,所述NR基站为SN,或者,所述NR基站为MN,所述LTE基站为SN。
2.根据权利要求1所述的***,其特征在于,所述终端的MN给所述终端选择一个PCE作为PDCP锚点,所述PCE上给所述终端的无线承载创建的PDCP实体使用根据所述MN的安全密钥推衍得到的安全信息;所述终端的SN给所述终端选择所述PCE作为PDCP锚点后,所述PCE上的所述PDCP实体使用的安全信息不变。
3.根据权利要求2所述的***,其特征在于,所述终端的MN适于在确定删除所述SN时,仍给所述终端选择所述PCE作为PDCP锚点,且所述PCE上的所述PDCP实体使用的安全信息不变。
4.根据权利要求1所述的***,其特征在于,当所述终端的所述MN触发安全密钥更新,或所述SN触发安全密钥更新,所述MN和所述SN给所述终端选择的所述PCE适于从所述SN接收新的安全信息,其中,所述新的安全信息根据新的安全密钥推衍得到;
所述PCE还适于在接收到所述MN或SN的关闸消息后,暂停下行数据的发送和上行数据的接收,并触发PDCP重建立。
5.根据权利要求4所述的***,其特征在于,所述PCE还适于在接收到所述MN或SN的开闸消息后,给重建后的PDCP实体生效所述新的安全信息;其中,所述MN或SN适于在检测到所述终端的无线资源控制RRC连接重配置完成消息后,向所述PCE发送所述开闸消息。
6.根据权利要求2所述的***,其特征在于,所述LTE基站为所述终端的MN,所述NR基站为所述终端的SN;
所述终端的MN适于给所述SN发送SN添加请求消息,并在接收到所述SN发送的SN添加确认消息后,向所述终端发送无线资源控制RRC连接重配置消息,其中SecurityConfig.keyToUse信元选择所述LTE基站的安全密钥KeNB
7.一种用于支持双连接的安全处理方法,包括:
终端的主节点MN在与所述终端建立通信连接时,给所述终端选择部署有新空口NR分组数据汇聚协议PDCP层的一个包协同操作单元PCE作为PDCP锚点;
所述MN给所述终端的辅节点SN发送SN添加请求消息,其中,所述SN添加请求消息至少携带所述MN的安全密钥、所述MN给所述终端选择的所述PCE的信息;
所述MN接收所述SN发送的SN添加确认消息,其中,所述SN添加确认消息携带对所述MN的安全密钥的选择信息,用于指示所述SN给所述终端选择的PCE与所述MN给所述终端选择的所述PCE相同;
所述MN向所述终端发送无线资源控制RRC连接重配置消息,其中携带对所述MN的安全密钥的选择信息;
其中,所述MN为长期演进LTE基站,所述SN为NR基站;或者,所述MN为NR基站,所述SN为LTE基站。
8.根据权利要求7所述的方法,其特征在于,所述MN所选择的所述PCE上给所述终端的无线承载创建的PDCP实体使用根据所述MN的安全密钥推衍得到的安全信息,且在所述终端的SN给所述终端选择所述PCE作为PDCP锚点后,所述PCE上的所述PDCP实体使用的安全信息不变。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
所述MN确定给所述终端删除所述SN时,仍给所述终端选择所述PCE作为PDCP锚点,向所述PCE发送承载建立请求消息,用于指示所述PCE上的所述PDCP实体使用的安全信息不变;
所述MN接收到所述PCE发送的承载建立响应消息后,向所述终端发送RRC连接重配置消息,其中携带对所述MN的安全密钥的选择信息。
10.根据权利要求8所述的方法,其特征在于,所述方法还包括:
所述MN接收到核心网下发的新的安全密钥后,或者接收到所述SN发送的SN修改要求消息后,向所述SN发送SN修改请求消息,其中携带新的安全密钥;
所述MN接收到所述SN发送的SN修改确认消息后,向所述终端发送RRC连接重配置消息,并向所述PCE发送关闸消息,其中,所述关闸消息用于指示所述PCE暂停向所述MN发送所述终端的数据以及暂停从所述MN接收所述终端的数据,并指示所述PCE触发PDCP重建立;
所述MN接收到所述终端发送的RRC连接重配置完成消息后,向所述PCE发送开闸消息,其中,所述开闸消息用于指示所述PCE使用新的安全信息开始向所述MN发送所述终端的数据以及从所述MN接收所述终端的数据,所述新的安全信息由所述SN根据所述新的安全密钥推衍得到。
11.根据权利要求7至10中任一项所述的方法,其特征在于,所述终端的MN为LTE基站,所述终端的SN为NR基站;
所述MN给所述终端发送的RRC连接重配置消息中携带SecurityConfig.keyToUse信元,其中选择所述LTE基站的安全密钥KeNB
12.一种用于支持双连接的安全处理方法,包括:
终端的辅节点SN接收主节点MN发送的SN添加请求消息后,给所述终端选择部署有新空口NR分组数据汇聚协议PDCP层的一个包协同操作单元PCE作为PDCP锚点;其中,所述SN选择的PCE与所述MN给所述终端选择的PCE相同;
所述SN向所述PCE发送承载建立请求消息;
所述SN接收到所述PCE发送的承载建立响应消息后,向所述MN发送SN添加确认消息,其中携带对所述MN的安全密钥的选择信息;
其中,所述MN为长期演进LTE基站,所述SN为NR基站;或者,所述MN为NR基站,所述SN为LTE基站。
13.根据权利要求12所述的方法,其特征在于,所述SN和MN所选的所述PCE上给所述终端的无线承载创建的PDCP实体使用根据所述MN的安全密钥推衍得到的安全信息。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:
所述SN接收到所述MN发送的SN修改请求消息后,根据所述SN修改请求消息中携带的新的安全密钥,推衍出新的安全信息,并向所述PCE发送携带所述新的安全信息的承载建立请求消息;
所述SN接收到所述PCE发送的承载建立响应消息后,向所述MN发送SN修改确认消息,并向所述终端发送无线资源控制RRC连接重配置消息;
所述SN向所述PCE发送关闸消息;其中,所述关闸消息用于指示所述PCE暂停向所述SN发送所述终端的数据以及暂停从所述SN接收所述终端的数据,并指示所述PCE触发PDCP重建立;
所述SN接收到所述终端发送的RRC连接重配置完成消息后,向所述PCE发送开闸消息,其中,所述开闸消息用于指示所述PCE使用所述新的安全信息开始向所述SN发送所述终端的数据以及从所述SN接收所述终端的数据。
15.一种用于支持双连接的安全处理方法,应用于部署有新空口NR分组数据汇聚协议PDCP层的包协同操作单元PCE,所述方法包括:
PCE接收长期演进LTE基站或NR基站发送的承载建立请求消息;
所述PCE根据所述承载建立请求消息携带的承载信息,查询到所述承载信息对应的PDCP实体,并根据所述承载建立请求消息是否携带安全信息,确定所述承载信息对应的PDCP实体使用的安全信息是否变化。
16.根据权利要求15所述的方法,其特征在于,所述根据所述承载建立请求消息是否携带安全信息,确定所述承载信息对应的PDCP实体使用的安全信息是否变化,包括:
当所述承载建立请求消息携带安全信息,所述PCE确定所述承载信息对应的PDCP实体使用的安全信息发生变化,所述PDCP实体需要重建立;
当所述承载建立请求消息没有携带安全信息,所述PCE确定所述承载信息对应的PDCP实体使用的安全信息不变。
17.根据权利要求15所述的方法,其特征在于,当所述承载建立请求消息携带安全信息,所述方法还包括:
所述PCE接收到所述LTE基站或所述NR基站发送的关闸消息后,暂停下行数据的发送和上行数据的接收,并触发PDCP重建立过程;
所述PCE接收到所述LTE基站或所述NR基站的开闸消息后,给重建后的所述PDCP实体生效所述承载建立请求消息携带的安全信息,开始下行数据的发送和上行数据的接收。
18.一种通信设备,其特征在于,包括:第一存储器和第一处理器;所述第一存储器适于存储用于支持双连接的安全处理程序,所述安全处理程序被所述第一处理器执行时实现如权利要求7至11中任一项所述的安全处理方法的步骤。
19.一种通信设备,其特征在于,包括:第二存储器和第二处理器;所述第二存储器适于存储用于支持双连接的安全处理程序,所述安全处理程序被所述第二处理器执行时实现如权利要求12至14中任一项所述的安全处理方法的步骤。
20.一种通信设备,其特征在于,包括:第三存储器和第三处理器;所述第三存储器适于存储用于支持双连接的安全处理程序,所述安全处理程序被所述第三处理器执行时实现如权利要求15至17中任一项所述的安全处理方法的步骤。
21.一种计算机可读介质,其特征在于,存储有用于支持双连接的安全处理程序,所述安全处理程序被处理器执行时实现如权利要求7至11中任一项所述的安全处理方法的步骤。
CN201811555375.9A 2018-12-19 2018-12-19 一种用于支持双连接的安全处理方法及*** Active CN109618419B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201811555375.9A CN109618419B (zh) 2018-12-19 2018-12-19 一种用于支持双连接的安全处理方法及***
ES19901274T ES2964483T3 (es) 2018-12-19 2019-09-30 Método y sistema de determinación de puntos de anclaje para soportar conectividad dual, dispositivo de comunicación y medio legible por ordenador
EP19901274.1A EP3897067B1 (en) 2018-12-19 2019-09-30 Anchor point determination method and system for supporting dual connectivity, communication device, and computer readable medium
PCT/CN2019/109624 WO2020125133A1 (zh) 2018-12-19 2019-09-30 用于支持双连接的锚点确定方法及***、通信设备及计算机可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811555375.9A CN109618419B (zh) 2018-12-19 2018-12-19 一种用于支持双连接的安全处理方法及***

Publications (2)

Publication Number Publication Date
CN109618419A true CN109618419A (zh) 2019-04-12
CN109618419B CN109618419B (zh) 2021-10-26

Family

ID=66009563

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811555375.9A Active CN109618419B (zh) 2018-12-19 2018-12-19 一种用于支持双连接的安全处理方法及***

Country Status (4)

Country Link
EP (1) EP3897067B1 (zh)
CN (1) CN109618419B (zh)
ES (1) ES2964483T3 (zh)
WO (1) WO2020125133A1 (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020125133A1 (zh) * 2018-12-19 2020-06-25 中兴通讯股份有限公司 用于支持双连接的锚点确定方法及***、通信设备及计算机可读介质
CN112105092A (zh) * 2019-06-17 2020-12-18 中兴通讯股份有限公司 双连接重建立中数据的处理方法及装置
WO2021004405A1 (zh) * 2019-07-05 2021-01-14 华为技术有限公司 用户设备能力信息的上报方法及设备
WO2021030970A1 (en) * 2019-08-16 2021-02-25 Qualcomm Incorporated Ul transmission method for endc dual connection device
CN112566194A (zh) * 2019-09-26 2021-03-26 ***通信有限公司研究院 切换方法及装置、通信设备
CN112616194A (zh) * 2020-12-10 2021-04-06 上海微波技术研究所(中国电子科技集团公司第五十研究所) 通信***中的多连接节点失效时的快速恢复方法及***
CN112637909A (zh) * 2019-09-24 2021-04-09 ***通信集团重庆有限公司 锚点网络的智能配置方法及装置
CN112788786A (zh) * 2019-11-07 2021-05-11 Oppo(重庆)智能科技有限公司 网络连接的控制方法、终端及存储介质
CN113692068A (zh) * 2020-05-19 2021-11-23 成都鼎桥通信技术有限公司 终端信号测量方法和***
CN113727442A (zh) * 2020-05-26 2021-11-30 ***通信有限公司研究院 一种信息配置方法、装置、设备及可读存储介质
WO2021258962A1 (zh) * 2020-06-24 2021-12-30 中兴通讯股份有限公司 数据下发方法、设备和存储介质
WO2022082450A1 (zh) * 2020-10-20 2022-04-28 Oppo广东移动通信有限公司 分离承载的层二测量结果确定方法、装置、设备及介质

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113316162A (zh) * 2021-05-19 2021-08-27 ***通信集团陕西有限公司 网络覆盖连续性的确定方法、装置、设备及存储介质
CN113179530B (zh) * 2021-05-25 2022-07-29 中国联合网络通信集团有限公司 网络优化方法、装置及电子设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101473678A (zh) * 2006-06-16 2009-07-01 诺基亚公司 利用简单的隧道切换来改变lte特定锚点
WO2015027524A1 (zh) * 2013-09-02 2015-03-05 华为技术有限公司 一种通信方法、网络侧设备、用户设备
CN107251601A (zh) * 2015-04-17 2017-10-13 联发科技(新加坡)私人有限公司 用于异构网络多连接的方法以及装置
CN108282830A (zh) * 2017-01-06 2018-07-13 电信科学技术研究院 一种网络实体切换的方法、终端及网络实体设备
CN108282827A (zh) * 2017-01-06 2018-07-13 北京三星通信技术研究有限公司 用于网络间互操作的方法、节点及设备
WO2018172542A1 (en) * 2017-03-24 2018-09-27 Telefonaktiebolaget Lm Ericsson (Publ) Data buffer handling for dual connectivity

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108990116B (zh) * 2017-06-01 2021-08-06 中兴通讯股份有限公司 一种移动切换的管理方法、装置及设备
CN108566672B (zh) * 2018-07-12 2021-02-23 中国联合网络通信集团有限公司 一种数据传输方法、装置和网络***
CN109618419B (zh) * 2018-12-19 2021-10-26 中兴通讯股份有限公司 一种用于支持双连接的安全处理方法及***

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101473678A (zh) * 2006-06-16 2009-07-01 诺基亚公司 利用简单的隧道切换来改变lte特定锚点
WO2015027524A1 (zh) * 2013-09-02 2015-03-05 华为技术有限公司 一种通信方法、网络侧设备、用户设备
CN107251601A (zh) * 2015-04-17 2017-10-13 联发科技(新加坡)私人有限公司 用于异构网络多连接的方法以及装置
CN108282830A (zh) * 2017-01-06 2018-07-13 电信科学技术研究院 一种网络实体切换的方法、终端及网络实体设备
CN108282827A (zh) * 2017-01-06 2018-07-13 北京三星通信技术研究有限公司 用于网络间互操作的方法、节点及设备
WO2018172542A1 (en) * 2017-03-24 2018-09-27 Telefonaktiebolaget Lm Ericsson (Publ) Data buffer handling for dual connectivity

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CATT: "PDCP data recovery for NE-DC", 《3GPP TSG-RAN WG2 MEETING #103 R2-1811226》 *
ZTE CORPORATION等: "Discussion on split bearer based mobility", 《3GPP TSG-RAN WG2 MEETING #104 R1-1816861》 *

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020125133A1 (zh) * 2018-12-19 2020-06-25 中兴通讯股份有限公司 用于支持双连接的锚点确定方法及***、通信设备及计算机可读介质
CN112105092A (zh) * 2019-06-17 2020-12-18 中兴通讯股份有限公司 双连接重建立中数据的处理方法及装置
CN112105092B (zh) * 2019-06-17 2024-03-15 中兴通讯股份有限公司 双连接重建立中数据的处理方法及装置
WO2021004405A1 (zh) * 2019-07-05 2021-01-14 华为技术有限公司 用户设备能力信息的上报方法及设备
US11324060B2 (en) 2019-08-16 2022-05-03 Qualcomm Incorporated UL transmission method for ENDC dual connection device
WO2021030970A1 (en) * 2019-08-16 2021-02-25 Qualcomm Incorporated Ul transmission method for endc dual connection device
CN112637909A (zh) * 2019-09-24 2021-04-09 ***通信集团重庆有限公司 锚点网络的智能配置方法及装置
CN112637909B (zh) * 2019-09-24 2023-04-07 ***通信集团重庆有限公司 锚点网络的智能配置方法及装置
CN112566194A (zh) * 2019-09-26 2021-03-26 ***通信有限公司研究院 切换方法及装置、通信设备
CN112788786A (zh) * 2019-11-07 2021-05-11 Oppo(重庆)智能科技有限公司 网络连接的控制方法、终端及存储介质
CN113692068A (zh) * 2020-05-19 2021-11-23 成都鼎桥通信技术有限公司 终端信号测量方法和***
CN113692068B (zh) * 2020-05-19 2023-09-22 成都鼎桥通信技术有限公司 终端信号测量方法和***
CN113727442A (zh) * 2020-05-26 2021-11-30 ***通信有限公司研究院 一种信息配置方法、装置、设备及可读存储介质
WO2021258962A1 (zh) * 2020-06-24 2021-12-30 中兴通讯股份有限公司 数据下发方法、设备和存储介质
WO2022082450A1 (zh) * 2020-10-20 2022-04-28 Oppo广东移动通信有限公司 分离承载的层二测量结果确定方法、装置、设备及介质
CN112616194B (zh) * 2020-12-10 2022-11-29 上海微波技术研究所(中国电子科技集团公司第五十研究所) 通信***中的多连接节点失效时的快速恢复方法及***
CN112616194A (zh) * 2020-12-10 2021-04-06 上海微波技术研究所(中国电子科技集团公司第五十研究所) 通信***中的多连接节点失效时的快速恢复方法及***

Also Published As

Publication number Publication date
EP3897067B1 (en) 2023-11-01
ES2964483T3 (es) 2024-04-08
CN109618419B (zh) 2021-10-26
WO2020125133A1 (zh) 2020-06-25
EP3897067A4 (en) 2022-04-20
EP3897067A1 (en) 2021-10-20

Similar Documents

Publication Publication Date Title
CN109618419A (zh) 一种用于支持双连接的安全处理方法及***
WO2018219039A1 (zh) 一种移动切换的管理方法、装置、设备及存储介质
KR102288057B1 (ko) 이중 연결성 이동 통신 네트워크에서의 시그널링
CN104219722B (zh) 双连接无线承载的迁移处理、迁移方法及装置
CN103582124B (zh) 一种业务建立的方法、***和设备
CN110326321A (zh) 一种传输方法和网络设备
US11483705B2 (en) Method and device for generating access stratum key in communications system
KR20190049782A (ko) 신규 무선 통신 아키텍쳐에서 듀얼-커넥티비티를 성립하여 데이터를 송신하는 방법 및 장치
JP6416918B2 (ja) セキュリティキー変更方法、基地局、およびユーザ機器
CN106105368A (zh) 双连接网络
AU2020264654B2 (en) Communication method and communications apparatus
CN109479336A (zh) 用于连接管理的***和方法
US10491471B2 (en) Radio configuration method for wearable device, related device, and base station
KR20200119303A (ko) 전체 구성으로 접속을 재개하기 위한 방법들, 네트워크 노드들, 무선 디바이스 및 컴퓨터 프로그램 제품
KR20220098154A (ko) 조건부 전체 구성 및 조건부 델타 구성
CN109315008A (zh) 多连接通信方法和设备
US20230403617A1 (en) Managing integrated access and backhaul mobility
CN110035479A (zh) 选择集中式单元用户平面的方法和基站
WO2012031507A1 (zh) 数据传输通道迁移方法及***
CN103997762B (zh) 一种小区切换方法及***
WO2015018122A1 (zh) 一种消息传输方法及设备
CN111954314B (zh) 一种消息传输方法及设备
CN107371198A (zh) 小区切换的方法和***
WO2022094976A1 (zh) 密钥生成方法及装置
JP6586212B2 (ja) セキュリティキー変更方法、基地局、およびユーザ機器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant