CN110365470B - 一种密钥生成方法和相关装置 - Google Patents
一种密钥生成方法和相关装置 Download PDFInfo
- Publication number
- CN110365470B CN110365470B CN201810254839.6A CN201810254839A CN110365470B CN 110365470 B CN110365470 B CN 110365470B CN 201810254839 A CN201810254839 A CN 201810254839A CN 110365470 B CN110365470 B CN 110365470B
- Authority
- CN
- China
- Prior art keywords
- centralized unit
- user plane
- plane entity
- key
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
- H04W88/085—Access point devices with remote components
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供密钥生成方法,应用于基站拆分为集中式单元和分布式单元,且该集中式单元的控制面和用户面分离的场景。本申请实施例提供的一种密钥生成方法中,集中式单元的控制面实体获取根密钥,并基于该根密钥生成用户面安全密钥。本申请提供的另一种密钥生成方法中,集中式单元的用户面实体获取根密钥,并基于该根密钥生成用户面安全密钥。因此,本申请实施例的方案实现了不同用户面实体之间的密钥隔离。进一步的,实际操作中,可以灵活选择由集中式单元的控制面实体或用户面实体来生成用户面安全密钥。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种密钥生成方法和相关装置。
背景技术
图1为长期演进(long term evolution,LTE)的密钥架构的示意图。在LTE中,以认证与密钥协商(authentication and key agreement,AKA)过程中生成的KASME作为基础,可以推衍出非接入层(non-access stratum,NAS)密钥和演进节点B(evolved Node B,eNB)的主密钥(KeNB)。NAS密钥供终端与移动性管理实体(mobility management entity,MME)之间使用,包括NAS加密密钥(可表示为KNASenc)和NAS完整性保护密钥(可表示为KNASint)。KeNB用于计算接入层(access stratum,AS)密钥。AS密钥供终端与演进节点(evolved NodeB,eNodeB或eNB)之间使用,包括无线资源控制(radio resource control,RRC)加密密钥(可表示为KRRCenc)、RRC完整性保护密钥(可表示为KRRCint)和用户面完整性保护密钥(KUPenc)。其中,KRRCenc用于对RRC消息进行加密保护,KRRCint用于对RRC消息进行完整性保护,KUPenc用于对空口用户数据进行加密保护。
然而,未来网络中,基站可能拆分为集中式单元(centralized unit,CU)和分布式单元(distributed unit,DU)。其中,集中式单元又可以拆分为CU控制面(CU-controlplane,CU-CP)实体和CU用户面(CU-user plane,CU-UP)实体。一个基站可以由一个CU-CP实体、多个CU-UP实体和多个DU组成。在这种场景下,若沿用LTE的密钥架构,则同一个基站的不同CU-UP实体将使用相同的密钥,存在安全风险。
发明内容
本申请实施例提供一种密钥生成方法和相关装置,用以实现不同CU-UP实体之间的密钥隔离。
第一方面,本申请实施例提供一种密钥生成方法,应用于第一基站包括第一集中式单元且该第一集中式单元包括控制面实体和用户面实体,该方法包括:第一集中式单元的控制面实体获取根密钥;第一集中式单元的控制面实体基于该根密钥生成第一用户面安全密钥,该第一用户面安全密钥为第一集中式单元的用户面实体与终端之间使用的用户面安全密钥,该第一用户面安全密钥包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项;第一集中式单元的控制面实体向第一集中式单元的用户面实体发送该第一用户面安全密钥。
第二方面,本申请实施例提供另一种密钥生成方法,应用于第一基站包括第一集中式单元且第一集中式单元包括控制面实体和用户面实体,该方法包括:第一集中式单元的用户面实体接收来自第一集中式单元的控制面实体的第一用户面安全密钥,该第一用户面安全密钥为第一集中式单元的用户面实体与终端之间使用的用户面安全密钥,该第一用户面安全密钥包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项。
通过上述两个方面的方案,在基站拆分为集中式单元和分布式单元,且集中式单元拆分为控制面实体和用户面实体的情况下,针对不同的用户面实体可以由控制面实体生成不同的安全密钥,从而实现用户面实体之间的密钥隔离。
针对上述两个方面提供的方法,还可以根据下面的各种可能设计进一步实施:
在一个可能的设计中,第一基站还包括第一分布式单元,第一集中式单元的控制面实体可以通过以下方式生成第一用户面安全密钥:第一集中式单元的控制面实体基于第一安全算法、第一集中式单元的用户面实体的标识、第一分布式单元的标识、承载信息、会话信息和隧道端点标识TEID信息中的至少一项以及该根密钥,生成第一用户面安全密钥。
其中,第一安全算法为第一集中式单元的用户面实体与终端之间使用的安全算法。对于该第一安全算法,可能有以下情形:情形一,该第一安全算法为第一CU-UP与终端之间专用于用户面安全算法的安全算法;这种情形下,第一CU-UP与终端之间的用户面安全算法与第一CU-CP与终端之间的控制面安全算法不同,第一CU-UP与第一CU-CP可以分别配置有自己的算法。情形二、第一CU-UP与终端之间使用的用户面安全算法与第一CU-CP与终端之间使用的控制面安全算法相同,均为第一安全算法,即第一安全算法既用作第一CU-UP与终端之间的用户面安全算法,又用作第一CU-CP与终端之间的控制面安全算法。
示例性地,第一集中式单元的控制面实体可以根据第一集中式单元的用户面实体的算法优先级列表选择该第一安全算法,其中,该算法优先级列表包括该第一安全算法。
在一种可能的实现方式中,该算法优先级列表保存在第一集中式单元的控制面实体中。这样,第一集中式单元的控制面实体可以直接从本地获取该算法优先级列表。
在另一种可能的实现方式中,该算法优先级列表保存在第一集中式单元的用户面实体中。第一集中式单元的控制面实体可以接收来自第一集中式单元的用户面实体的该算法优先级列表。进一步的,第一集中式单元的控制面实体在接收该算法优先级列表之前,还可以向第一集中式单元的用户面实体请求该算法优先级列表。
在一个可能的设计中,第一集中式单元的控制面实体还可以向终端发送用于生成第一用户面安全密钥的参数,该参数包括以下至少一项:第一安全算法、第一集中式单元的用户面实体的标识、第一分布式单元的标识、承载信息、会话信息和TEID信息。
对于本方面中的根密钥,在一个可能的设计中,该根密钥为第一集中式单元的控制面实体的根密钥,第一集中式单元的控制面实体可以通过以下方式获取该根密钥:第一集中式单元的控制面实体接收来自第二集中式单元的控制面实体的第一集中式单元的控制面实体的根密钥;或者,第一集中式单元的控制面实体接收来自第二集中式单元的控制面实体的第一基站的根密钥,并根据该第一基站的根密钥生成该第一集中式单元的控制面实体的根密钥。其中,第二集中式单元为第二基站所包括的集中式单元。
在另一个可能的设计中,该根密钥为第一基站的根密钥,第一集中式单元的控制面实体可以通过以下方式获取该根密钥:第一基站的控制面实体接收来自第二集中式单元的控制面实体的该第一基站的根密钥;其中,第二集中式单元为第二基站所包括的集中式单元。
第三方面,本申请实施例提供又一种密钥生成方法,应用于第一基站包括第一集中式单元且第一集中式单元包括控制面实体和用户面实体,该方法包括:第一集中式单元的用户面实体获取根密钥;第一集中式单元的用户面实体基于该根密钥生成第一用户面安全密钥,该第一用户面安全密钥为第一集中式单元的用户面实体与终端之间使用的用户面安全密钥,该第一用户面安全密钥包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项。
示例性地,第一集中式单元的用户面实体还可以向第一集中式单元的控制面实体发送该第一用户面安全密钥。
第四方面,本申请实施例提供再一种密钥生成方法,应用于第一基站包括第一集中式单元且第一集中式单元包括控制面实体和用户面实体,该方法包括:第一集中式单元的控制面实体向第一集中式单元的用户面实体发送第一集中式单元的控制面实体的根密钥或第一基站的根密钥;第一集中式单元的控制面实体接收来自第一集中式单元的用户面实体的第一用户面安全密钥,该第一用户面安全密钥为第一集中式单元的用户面实体与终端之间使用的用户面安全密钥,且第一用户面安全密钥基于根密钥生成。
通过上述两个方面的方案,在基站拆分为集中式单元和分布式单元,且集中式单元拆分为控制面实体和用户面实体的情况下,针对不同的用户面实体可以由用户面实体生成自己的安全密钥,从而实现用户面实体之间的密钥隔离。
进一步的,当集中式单元的控制面实体与分布式单元进行交互时,若需要用到集中式单元的用户面实体与终端之间的第一用户面安全密钥,集中式单元的控制面实体可以根据本申请实施例的方案获取。
针对上述两个方面提供的方法,还可以根据下面的各种可能设计进一步实施:
在一个可能的设计中,第一基站还包括第一分布式单元,第一集中式单元的用户面实体可以通过以下方式生成第一用户面安全密钥:第一集中式单元的控制面实体基于第一安全算法、第一集中式单元的用户面实体的标识、第一分布式单元的标识、承载信息、会话信息和隧道端点标识TEID信息中的至少一项以及该根密钥,生成第一用户面安全密钥。
其中,有关第一安全算法的介绍可以参考上文中的详细描述,此处不做赘述。
示例性地,第一集中式单元的用户面实体可以根据第一集中式单元的用户面实体的算法优先级列表选择该第一安全算法,其中,该算法优先级列表包括该第一安全算法。
在一种可能的实现方式中,该算法优先级列表保存在第一集中式单元的用户面实体中。这样,第一集中式单元的用户面实体可以直接从本地获取该算法优先级列表。
在另一种可能的实现方式中,该算法优先级列表保存在第一集中式单元的控制面实体中。第一集中式单元的用户面实体可以接收来自第一集中式单元的控制面实体的该算法优先级列表。进一步的,第一集中式单元的用户面实体在接收该算法优先级列表之前,还可以向第一集中式单元的控制面实体请求该算法优先级列表。
在一个可能的设计中,第一集中式单元的控制面实体还可以向终端发送用于生成第一用户面安全密钥的参数,该参数包括以下至少一项:第一安全算法、第一集中式单元的用户面实体的标识、第一分布式单元的标识、承载信息、会话信息和TEID信息。
对于本方面中的根密钥,在一个可能的设计中,该根密钥为第一集中式单元的控制面实体的根密钥,第一集中式单元的用户面实体可以通过以下方式获取该根密钥:第一集中式单元的用户面实体接收来自第一集中式单元的控制面实体的第一集中式单元的控制面实体的根密钥;或者,第一集中式单元的用户面实体接收来自第一集中式单元的控制面实体的第一基站的根密钥,并根据该第一基站的根密钥生成该第一集中式单元的控制面实体的根密钥。
在另一个可能的设计中,该根密钥为第一基站的根密钥,第一集中式单元的用户面实体可以通过以下方式获取该根密钥:第一基站的用户面实体接收来自第一集中式单元的控制面实体的该第一基站的根密钥。
第五方面,本申请实施例提供再一种密钥生成方法,该方法包括:终端接收来自第一集中式单元的控制面实体的用于生成第一用户面安全密钥的参数,该参数包括以下至少一项:第一安全算法、第一集中式单元的用户面实体的标识、第一分布式单元的标识、承载信息、会话信息和隧道端点标识TEID信息;终端根据根密钥和该参数生成第一用户面安全密钥,该第一用户面安全密钥为第一集中式单元的用户面实体对于终端之间使用的用户面安全密钥;其中,第一集中式单元为第一基站包括的集中式单元,且该第一集中式单元包括上述控制面实体和上述用户面实体。
其中,有关第一安全算法的介绍,可以参考上文中的详细描述,此处不做赘述。
第六方面,本申请实施例提供一种安全上下文的获取方法,该方法包括:统一数据存储网元接收来自集中式单元的控制面实体的安全上下文,该安全上下文包括用户面安全上下文和控制面安全上下文;统一数据存储网元存储该安全上下文;统一数据存储网元向集中式单元的用户面实体发送该安全上下文。
通过该方面的方案,本申请实施例能够提供一个统一数据存储网元,其可以存储从集中式单元的控制面实体接收的安全上下文,并提供给集中式单元的用户面实体,便于安全上下文的统一管理和传递。
在一个可能的设计中,统一数据存储网元可以根据凭证信息向集中式单元的用户面实体发送该安全上下文,其中,该凭证信息为集中式单元的用户面实体从统一数据存储网元获取该安全上下文的凭证。例如,该凭证信息可以是token。
示例性地,上述凭证信息可以由集中式单元的控制面实体分配;或者,该凭证信息可以由统一数据存储网元生成。
第七方面,本申请实施例提供一种装置,该装置具有实现上述方法设计中第一集中式单元的控制面实体行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如,该装置可以为集中式单元的控制面实体,或者可以为集中式单元的控制面实体中的芯片。
在一个可能的设计中,该装置为集中式单元的控制面实体,集中式单元的控制面实体包括处理器,所述处理器被配置为支持集中式单元的控制面实体执行上述方法中相应的功能。进一步的,集中式单元的控制面实体还可以包括通信接口,所述通信接口用于支持集中式单元的控制面实体与集中式单元的用户面实体或其他网元之间的通信。进一步的,集中式单元的控制面实体还可以包括存储器,所述存储器用于与处理器耦合,其保存集中式单元的控制面实体必要的程序指令和数据。
第八方面,本申请实施例提供一种装置,该装置具有实现上述方法设计中第一集中式单元的用户面实体行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如,该装置可以为集中式单元的用户面实体,或者可以为集中式单元的用户面实体中的芯片。
在一个可能的设计中,该装置为集中式单元的用户面实体,集中式单元的用户面实体包括处理器,所述处理器被配置为支持集中式单元的用户面实体执行上述方法中相应的功能。进一步的,集中式单元的用户面实体还可以包括通信接口,所述通信接口用于支持集中式单元的用户面实体与集中式单元的控制面实体或其他网元之间的通信。进一步的,集中式单元的用户面实体还可以包括存储器,所述存储器用于与处理器耦合,其保存集中式单元的用户面实体必要的程序指令和数据。
第九方面,本申请实施例提供一种装置,该装置具有实现上述方法设计中终端行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如,该装置可以为终端,或者可以为终端中的芯片。
在一个可能的设计中,该装置为终端,终端包括处理器,所述处理器被配置为支持终端执行上述方法中相应的功能。进一步的,终端还可以包括收发器,所述收发器用于支持终端与集中式单元的控制面实体或其他网元之间的通信。进一步的,终端还可以包括存储器,所述存储器用于与处理器耦合,其保存终端必要的程序指令和数据。
第十方面,本申请实施例提供一种装置,该装置具有实现上述方法设计中统一数据存储网元行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如,该装置可以为统一数据存储网元,或者可以为统一数据存储网元中的芯片。
在一个可能的设计中,该装置为统一数据存储网元,统一数据存储网元包括处理器,所述处理器被配置为支持统一数据存储网元执行上述方法中相应的功能。进一步的,统一数据存储网元还可以包括收发器,所述收发器用于支持统一数据存储网元与集中式单元的控制面实体、集中式单元的用户面实体或其他网元之间的通信。进一步的,统一数据存储网元还可以包括存储器,所述存储器用于与处理器耦合,其保存统一数据存储网元必要的程序指令和数据。
第十一方面,本申请实施例提供一种基站,该基站包括上述方面所述的集中式单元的控制面实体和集中式单元的用户面实体。
第十二方面,本申请实施例提供一种通信***,该***包括上述方面所述的集中式单元的控制面实体和集中式单元的用户面实体;或者,该***包括上述方面所述的集中式单元的控制面实体、集中式单元的用户面实体和终端。
第十三方面,本申请实施例提供一种计算机存储介质,用于储存为上述集中式单元的控制面实体所用的计算机软件指令,其包含用于执行上述第一方面或第四方面所设计的程序。
第十四方面,本申请实施例提供一种计算机存储介质,用于储存为上述集中式单元的用户面实体所用的计算机软件指令,其包含用于执行上述第二方面或第三方面所设计的程序。
第十五方面,本申请实施例提供一种计算机存储介质,用于储存为上述终端所用的计算机软件指令,其包含用于执行上述第五方面所设计的程序。
第十六方面,本申请实施例提供一种计算机存储介质,用于储存为上述统一数据存储网元所用的计算机软件指令,其包含用于执行上述第六方面所设计的程序。
第十七方面,本申请的实施例提供一种芯片***,应用于集中式单元的控制面实体中,所述芯片***包括至少一个处理器,存储器和接口电路,所述存储器、所述收发器和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行,以执行上述方法中所述第一集中式单元的控制面实体的操作。
第十八方面,本申请的实施例提供一种芯片***,应用于集中式单元的用户面实体中,所述芯片***包括至少一个处理器,存储器和接口电路,所述存储器、所述收发器和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行,以执行上述方法中所述第一集中式单元的用户面实体的操作。
第十九方面,本申请的实施例提供一种芯片***,应用于终端中,所述芯片***包括至少一个处理器,存储器和接口电路,所述存储器、所述收发器和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行,以执行上述方法中所述终端的操作。
第二十方面,本申请的实施例提供一种芯片***,应用于统一数据存储网元中,所述芯片***包括至少一个处理器,存储器和接口电路,所述存储器、所述收发器和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行,以执行上述方法中所述统一数据存储网元的操作。
相较于现有技术,在基站拆分为集中式单元和分布式单元,且集中式单元拆分为控制面实体和用户面实体时,应用本申请实施例的方案,针对不同的用户面实体可以由控制面实体生成不同的安全密钥,或者可以由用户面实体生成自己的安全密钥,从而实现用户面实体之间的密钥隔离。
附图说明
图1为LTE的密钥架构的示意图;
图2A为本申请实施例提供的一种可能的网络架构的示意图;
图2B为本申请实施例提供的网络架构的第一种部署场景的示意图;
图2C为本申请实施例提供的网络架构的第二种部署场景的示意图;
图2D为本申请实施例提供的网络架构的第三种部署场景的的示意图;
图2E为本申请实施例提供的第一种移动场景的示意图;
图2F为本申请实施例提供的第二种移动场景的示意图;
图3A为本申请实施例提供的第一种密钥生成方法的通信示意图;
图3B为本申请实施例提供的第二种密钥生成方法的通信示意图;
图4为本申请实施例提供的第一种移动场景下的一种密钥生成方法的通信示意图;
图5为本申请实施例提供的第一种移动场景下的另一种密钥生成方法的通信示意图;
图6为本申请实施例提供的第一种移动场景下的又一种密钥生成方法的通信示意图;
图7为本申请实施例提供的第一种移动场景下的再一种密钥生成方法的通信示意图;
图8为本申请实施例提供的第二种移动场景下的一种密钥生成方法的通信示意图;
图9为本申请实施例提供的第二种移动场景下的另一种密钥生成方法的通信示意图;
图10为本申请实施例提供的一种装置的示意性框图;
图11为本申请实施例提供的一种装置的结构示意图;
图12为本申请实施例提供的另一种装置的示意性框图;
图13为本申请实施例提供的一种终端的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
本申请实施例描述的网络架构以及应用场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
下面首先结合图2A至图2D对本申请实施例适用的网络架构进行介绍。
图2A为本申请提供的一种可能的网络架构的示意图。如图2A所示,下一代基站(next generation node B,gNB)主要包括CU和DU,CU又进一步拆分为CU-CP和CU-UP。下面对这些功能单元或实体进行介绍:
DU涵盖了基带处理的物理层以及层2(媒体接入控制(media access control,MAC)/无线链路控制(radio link control,RLC))部分功能。考虑到射频拉远单元(remoteradio unit,RRU)与DU的传输资源,部分DU的物理层功能可以上移到RRU,伴随RRU的小型化,甚至更激进的DU可以与RRU进行合并。DU的布放方式取决实际网络环境,示例性地,对于核心城区、话务密度较高、站间距较小或机房资源受限的区域,例如高校、大型演出场馆等,DU可以采取集中式的布放方式。而对于话务较稀疏、站间距较大的区域,例如郊县,山区等区域,DU可以采取分布式的布放方式。
CU涵盖了无线接入网高层协议栈以及核心网的一部分功能,例如无线资源控制(radio resource control,RRC)层,分组数据汇聚层协议(packet data convergenceprotocol,PDCP)层等的功能,甚至也能够支持部分核心网功能下沉至接入网,术语称作边缘计算网络。从而能够满足未来通信网络对于新兴业务例如视频、网购或虚拟/增强现实对于网络时延的更高要求。
CU-CP:集中式单元的控制面功能实体,涵盖了RRC和PDCP层的功能,主要对DU和CU-UP进行资源的管理和调度,以及控制信令的管理和中转。
CU-UP:集中式单元的用户面功能实体,目前主要涵盖PDCP层,主要对用户面数据(user plane traffic)进行传输,在会话到来的时候进行数据传输。
作为接入基础处理单元的gNB如此拆分具有不少好处。举例来说,5G网络中,尤其是在云化技术支持下,用户面和控制面解耦可以实现不同制式网络的同时连接,其中,与业务会话相关的控制面的信令承载在传统已经实现连续覆盖的网络上,而数据面调度则在有5G网络覆盖区域调度高速数据承载在5G网络上,若没有5G覆盖区域则数据面调度承载在传统网络上。这样5G网络完全可以按需部署,而不需要考虑连续覆盖问题。
从图2A可以看出,各个功能单元之间的连接关系如下:
1)一个gNB可以由一个CU-CP,一个或多个DU,一个或多个CU-UP组成;
2)CU-CP和DU之间通过F1-C接口相连;
3)CU-UP和DU之间通过F1-U接口相连;
4)CU-UP和CU-CP之间通过E1接口相连;
5)一个DU只能连接到一个CU-UP;
6)一个CU-UP一般只能连接到一个CU-CP;特殊情况下,可能可以连到多个CU-CP;示例性地,为了更灵活、更弹性地布网,CU-CP可能需要连接到两个或两个以上CU-CP,例如当其中一个CU-CP的负荷太大,CU-UP可能需要被分配或者路由到另一个CU-CP。
7)多个CU-UP可以只连接到一个DU;
8)多个DU可以只连接到一个CU-UP。
基于图2A所示的网络架构,在实际应用中,主要部署场景有三种,分别如图2B、图2C和图2D所示。其中,图2B、图2C和图2D中,NG-C接口为gNB与AMF之间的接口(例如5G架构中的N2接口);NG-U接口为gNB与UPF之间的接口(例如5G架构中的N3接口);Xn-C接口为CU-CP与其它CU-CP之间的接口;Xn-U为CU-UP与其它CU-UP之间的接口。
图2B为第一种部署场景的示意图。如图2B所示,在第一种部署场景中,CU-CP和CU-UP处于中心位置,例如,可以部署在机房,并利于云技术,通过虚拟化实现CU-CP和CU-UP。CU-CP位于中心位置能够更好地为DU提供负载均衡和资源协调。DU处于分布式的位置。
图2C为第二种部署场景的示意图。如图2C所示,在第二种部署场景中,CU-CP和DU处于分布式的位置,部署在室外,同时一个CU-CP管理一个DU,应用于信令操作多的场景。CU-CP管理单个DU,如关键(critical)通信,需要定期更换密钥的场景;但UP可以通过云实现。增大了CU-CP和CU-UP之间的时延。这种部署方式适用于链接重建、切换和状态转换较多的场景,特别的,诸如车联网等移动性场景。CU-UP处于中心位置。
图2D为第三种部署场景的示意图。如图2D所示,在第三种部署场景中,CU-CP处于中心位置;CU-UP和DU处于分布式的位置。该场景可能如高可靠低时延通信(ultra-reliable and low-latency communication,URLLC)场景,通过一次中心交互之后的用户面数据传输;也可以进行在用户面侧的云实现,实现数据传输的低时延,如关键机器类通信(critical machine type communication,critical MTC)下的数据传输。
下面将基于上面所述的本申请涉及的共性部分,对本申请实施进一步详细说明。
在上述图2A至图2D所示的网络架构下,若沿用LTE的密钥架构,则同一个基站的不同CU-UP将使用相同的密钥,存在安全风险。
有鉴于此,本申请实施例提供两种密钥生成方法,和基于这两种方法的第一集中式单元的控制面实体、第一集中式单元的用户面实体和终端。下面分别介绍这两种密钥生成方法:
第一种密钥生成方法应用于第一基站包括第一集中式单元且第一集中式单元包括控制面实体和用户面实体,该方法包括:第一集中式单元的控制面实体获取根密钥;第一集中式单元的控制面实体基于该根密钥生成第一用户面安全密钥,该第一用户面安全密钥为第一集中式单元的用户面实体与终端之间使用的用户面安全密钥,该第一用户面安全密钥包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项;第一集中式单元的控制面实体向第一集中式单元的用户面实体发送该第一用户面安全密钥;对应的,第一集中式单元的用户面实体接收来自第一集中式单元的控制面实体的第一用户面安全密钥。
在基站拆分为集中式单元和分布式单元,且集中式单元拆分为控制面实体和用户面实体时,应用上述方法,针对不同的用户面实体可以由控制面实体生成不同的安全密钥,从而实现用户面实体之间的密钥隔离。
第二种密钥生成方法应用于第一基站包括第一集中式单元且第一集中式单元包括控制面实体和用户面实体,该方法包括:第一集中式单元的用户面实体获取根密钥;第一集中式单元的用户面实体基于该根密钥生成第一用户面安全密钥,该第一用户面安全密钥为第一集中式单元的用户面实体与终端之间使用的用户面安全密钥,该第一用户面安全密钥包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项。
进一步地,第一集中式单元的用户面实体还可以向第一集中式单元的控制面实体发送第一用户面安全密钥;对应的,第一集中式单元的控制面实体可以从第一集中式单元的用户面实体接收该第一用户面安全密钥。
在基站拆分为集中式单元和分布式单元,且集中式单元拆分为控制面实体和用户面实体时,应用上述方法,针对不同的用户面实体可以由用户面实体生成自己的安全密钥,从而实现密钥隔离。
除提供上述两种密钥生成方法之外,出于以下考虑,本申请实施例还提供一种密钥传递方法。
在LTE中,当终端与eNB之间需建立初始的AS安全上下文时,终端和MME之间会推衍出一个KeNB和一个下一跳(next hop,NH)参数,该KeNB和该NH参数与下一跳链计数器(nexthop chaining count,NCC)紧密相关。若终端是从其他eNB切换至该eNB,与该KeNB相关的NCC对应推衍出该KeNB的NH参数的值。若终端是初始接入该eNB,与该KeNB相关的NCC的值为0。
在LTE中,若终端需要从源eNB切换至目标eNB,源eNB会根据NH或源基站与终端之间的KeNB推衍出一个KeNB *。然后,目标eNB会将该KeNB *用作目标eNB与终端之间的KeNB。对应的,终端也会推衍出相同的KeNB *,并在切换后将该KeNB *用作终端与目标eNB之间的KeNB。
然而,在基站拆分为CU和DU,且CU进一步拆分为CU-CP和CU-UP的场景下,若终端由于移动等原因发生切换,目前缺乏相应的密钥传递机制。
在上述图2A至图2D所示的网络架构下,若终端发生移动,可能存在两种移动场景,分别如图2E和2F所示。
如图2E所示,第一种移动场景中,终端移动时跨CU-UP且跨CU-CP。
如图2F所示,第二种移动场景中,终端移动时跨CU-UP但不跨CU-CP。
在如图2E所示的第一种移动场景下,本申请实施例提供一种密钥传递方法,和基于该方法的第一集中式单元的控制面实体和第二集中式单元的控制面实体。该方法包括:第二集中式单元的控制面实体决定将终端从第二集中式单元的控制面实体切换至第一集中式单元的控制面实体;第二集中式单元的控制面实体向第一集中式单元的控制面实体发送第一基站的根密钥或第一集中式单元的控制面实体的根密钥;其中,该第二集中式单元为第二基站包括的集中式单元,该第一集中式单元为该第一基站包括的集中式单元。
示例性地,该方法中,若第二集中式单元的控制面实体向第一集中式单元的控制面实体发送的是第一集中式单元的控制面实体的根密钥,则在此之前,第二集中式单元的控制面实体还可以根据第一基站的根密钥生成第一集中式单元的控制面实体的根密钥。
在一种可能的实现方式中,第二集中式单元的控制面实体可以通过切换请求向第一集中式单元的控制面实体发送第一基站的根密钥或第一集中式单元的控制面实体的根密钥。
应用上述方法,在集中式单元的控制面实体发生切换的情况下,源侧可以将根密钥发送至目标侧,从而有利于目标侧后续的密钥推衍过程。
需要说明的是,本申请实施例中,上述两种密钥生成方法中的任一种与上述密钥传递方法可以独立执行,也可以都进行执行。可以理解的是,当执行两种密钥生成方法中的一种与上述密钥传递方法时,密钥传递方法可以是密钥生成方法中,第一CU-CP获取第一集中式单元的控制面实体的根密钥或第一基站的根密钥的一种途径。
下面结合图3A和图3B分别对上述两种密钥生成方法进行介绍。
图3A为本申请实施例提供的第一种密钥生成方法的通信示意图。为描述方便,图3A中,第一集中式单元描述为第一CU,第一集中式单元的控制面实体描述为第一CU-CP,第一集中式单元的用户面实体描述为第一CU-UP。图3A所示的方法包括步骤301~步骤303。
步骤301、第一CU-CP获取根密钥。
示例性地,该根密钥可以为第一CU-CP的根密钥,或者,该根密钥可以为第一基站的根密钥。具体地,在5G***中,第一CU-CP的根密钥可以表示为第一KCU-CP *;第一基站的根密钥可以表示为第一KgNB *。
在一种可能的实现方式中,该根密钥为第一CU-CP的根密钥,第一CU-CP可以通过以下两种方式获取第一CU-CP的根密钥:方式一,第一CU-CP接收来自第二CU-CP的第一CU-CP的根密钥;方式二,第一CU-CP接收来自第二CU-CP的第一基站的根密钥,并根据该第一基站的根密钥生成第一CU-CP的根密钥。
在另一种可能的实现方式中,该根密钥为第一基站的根密钥,第一CU-CP可以通过以下方式获取第一基站的根密钥:第一CU-CP接收来自第二CU-CP的第一基站的根密钥。
其中,上述两种可能的实现方式中所涉及的第二CU-CP用于表示第二集中式单元的控制面实体,该第二集中式单元为第二基站所包括的集中式单元。
步骤302、第一CU-CP基于该根密钥生成第一用户面安全密钥。
其中,该第一用户面安全密钥为第一CU-UP与终端之间使用的用户面安全密钥。进一步的,该第一用户面安全密钥可以包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项。
在一种可能的实现方式中,上述第一基站还包括第一分布式单元(可表示为第一DU),第一CU-CP可以通过以下方式生成第一用户面安全密钥:第一CU-CP基于第一安全算法、第一CU-UP的标识、第一DU的标识、承载信息、会话信息和隧道端点标识(tunnelendpoint identifier,TEID)信息中的至少一项以及该根密钥,生成该第一用户面安全密钥。
示例性地,第一CU-CP可以根据上述根密钥和密钥生成其他参数生成第一用户面安全密钥。该密钥生成其他参数可以包括以下至少一项:Instance ID,CU-UP ID,CU ID,gNB的标识,CU-CP ID,DU ID,flow ID,承载信息,会话信息,切片ID,MAC层标识,RRC信令计数器,NAS count,新鲜参数的至少一项;若使用了新鲜参数,则此参数需要最终发送给UE,新鲜参数可以为:Count,Nonce,Random number等。有关这些内容的介绍可以参考后续图4中的详细描述,此处不做赘述。
其中,上述第一安全算法为第一CU-UP与终端之间使用的安全算法。对于该第一安全算法,可能有以下情形:情形一,该第一安全算法为第一CU-UP与终端之间专用于用户面安全算法的安全算法;这种情形下,第一CU-UP与终端之间的用户面安全算法与第一CU-CP与终端之间的控制面安全算法不同,第一CU-UP与第一CU-CP可以分别配置有自己的算法。情形二、第一CU-UP与终端之间使用的用户面安全算法与第一CU-CP与终端之间使用的控制面安全算法相同,均为第一安全算法,即第一安全算法既用作第一CU-UP与终端之间的用户面安全算法,又用作第一CU-CP与终端之间的控制面安全算法。
第一CU-UP的标识为唯一标识该第一CU-UP的信息,例如可以表示为第一CU-UP ID(identity)。
第一DU的标识为唯一标识该第一DU的信息,例如可以表示为第一DU ID、物理小区标识(physical cell identity,PCI)或者频点。
承载信息可以包括以下至少一项:承载的ID、承载的上行方向指示、承载的下行方向指示和承载数目。当然,承载信息还可能包含其它跟承载相关的内容,本申请实施例并不限定。
会话信息可以包括以下至少一项:会话标识(可表示为会话ID)和会话的业务类型。当然,会话信息还可能包含其它跟会话相关的内容,本申请实施例并不限定。
TEID信息用于标识传输数据的隧道,例如可以包括以下至少一项:传输数据的隧道的上行标识和传输数据的通道的下行标识。
进一步的,第一CU-CP在生成第一用户面安全密钥时,除参考上述列出的各项信息外,还可以参考以下信息中的至少一项:第一基站的标识、第一CU-CP的标识、随机数。其中,第一基站的标识为唯一标识该第一基站的信息,例如可以表示为第一基站ID、物理小区ID或频点等。第一CU-CP的标识为唯一标识该第一CU-CP的信息,例如可以表示为第一CU-CPID。随机数可以为以下任一种:Nonce、Counter或Random number等。
针对上述第一安全算法,第一CU-CP在生成第一用户面安全密钥之前,还可以根据第一CU-UP的算法优先级列表选择该第一安全算法。其中,该算法优先级列表包括该第一安全算法。进一步的,该算法优先级列表还可以包括其它安全算法。
在一个示例中,该算法优先级列表保存在第一CU-CP中。第一CU-CP可以直接从本地获取到该算法优先级列表,以选择第一安全算法。
在另一个示例中,该算法优先级列表保存在第一CU-UP中。第一CU-CP可以接收来自第一CU-UP的该算法优先级列表。进一步的,第一CU-CP在接收该算法优先级列表之前,还可以向第一CU-UP请求该算法优先级列表。
步骤303、第一CU-CP向第一CU-UP发送该第一用户面安全密钥。
可选地,除上述步骤301~步骤303外,图3A所示的方法还可以进一步包括步骤304和步骤305。
步骤304、第一CU-CP向终端发送用于生成第一用户面安全密钥的参数。
对应地,终端接收来自第一CU-CP的用于生成第一用户面安全密钥的参数。
其中,该参数可以包括以下至少一项:第一安全算法、第一CU-UP的标识、第一DU的标识、承载信息、会话信息和隧道端点标识TEID信息。
步骤305、终端基于上述参数生成第一用户面安全密钥。
图3B为本申请实施例提供的第二种密钥生成方法的通信示意图。需要说明的是,图3B所示的方法中,与图3A所示方法相同或相似的内容,可以参考图3A中的详细描述,后续不再赘述。为描述方便,图3B中,第一集中式单元描述为第一CU,第一集中式单元的控制面实体描述为第一CU-CP,第一集中式单元的用户面实体描述为第一CU-UP。图3B所示的方法包括步骤311和步骤312。
步骤311、第一CU-UP获取根密钥。
示例性地,该根密钥可以为第一CU-CP的根密钥,或者,该根密钥可以为第一基站的根密钥。具体地,在5G***中,第一CU-CP的根密钥可以表示为第一KCU-CP *;第一基站的根密钥可以表示为第一KgNB *。
在一种可能的实现方式中,该根密钥为第一CU-CP的根密钥,第一CU-UP可以通过以下两种方式获取第一CU-CP的根密钥:方式一,第一CU-UP接收来自第一CU-CP的第一CU-CP的根密钥;方式二,第一CU-UP接收来自第一CU-CP的第一基站的根密钥,并根据该第一基站的根密钥生成第一CU-CP的根密钥。
在另一种可能的实现方式中,该根密钥为第一基站的根密钥,第一CU-UP可以通过以下方式获取第一基站的根密钥:第一CU-UP接收来自第一CU-CP的第一基站的根密钥。
步骤312、第一CU-UP基于该根密钥生成第一用户面安全密钥。
其中,该第一用户面安全密钥为第一CU-UP与终端之间使用的用户面安全密钥。进一步的,该第一用户面安全密钥可以包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项。
在一种可能的实现方式中,上述第一基站还包括第一分布式单元(可表示为第一DU),第一CU-UP可以通过以下方式生成第一用户面安全密钥:第一CU-UP基于第一安全算法、第一CU-UP的标识、第一DU的标识、承载信息、会话信息和TEID信息中的至少一项以及该根密钥,生成该第一用户面安全密钥。
进一步的,第一CU-UP在生成第一用户面安全密钥时,除参考上述列出的各项信息外,还可以参考以下信息中的至少一项:第一基站的标识、第一CU-CP的标识、Nonce和Counter。
示例性地,第一CU-UP可以根据上述根密钥和密钥生成其他参数生成第一用户面安全密钥。该密钥生成其他参数可以包括以下至少一项:Instance ID,CU-UP ID,CU ID,gNB的标识,CU-CP ID,DU ID,flow ID,承载信息,会话信息,切片ID,MAC层标识,RRC信令计数器,NAS count,新鲜参数的至少一项;若使用了新鲜参数,则此参数需要最终发送给UE,新鲜参数可以为:Count,Nonce,Random number等。有关这些内容的介绍可以参考后续图4中的详细描述,此处不做赘述。
其中,有关第一安全算法、第一CU-UP的标识、第一DU的标识、承载信息、会话信息、TEID信息、第一基站的标识、第一CU-CP的标识、Nonce以及Counter的介绍可以参考图3A所示方法中的详细描述,此处不再赘述。
针对上述第一安全算法,第一CU-UP在生成第一用户面安全密钥之前,还可以根据第一CU-UP的算法优先级列表选择该第一安全算法。其中,该算法优先级列表包括该第一安全算法。进一步的,该算法优先级列表还可以包括其它安全算法。
在一个示例中,该算法优先级列表保存在第一CU-UP中。第一CU-UP可以直接从本地获取到该算法优先级列表,以选择第一安全算法。
在另一个示例中,该算法优先级列表保存在第一CU-CP中。第一CU-UP可以接收来自第一CU-CP的该算法优先级列表。进一步的,第一CU-UP在接收该算法优先级列表之前,还可以向第一CU-CP请求该算法优先级列表。
进一步地,图3B所示的方法还可以包括步骤313。
步骤313、第一CU-UP向第一CU-CP发送该第一用户面安全密钥。
可选地,除上述步骤311~步骤313外,图3B所示的方法还可以进一步包括步骤314和步骤315。其中,步骤314与图3A中的步骤304相同,步骤315与图3A中的步骤315相同,可以参考图3A中的详细描述,此处不做赘述。
上述结合图3A和图3B描述了本申请实施例提供的两种密钥生成方法,需要说明的是,这两种密钥生成方法均可以应用于图2A~图2D所示的网络架构,以及图2E和图2F所示的两种移动场景。此外,从上文可以看出,二者的主要区别在于:在图3A所示的第一种密钥生成方法中,由第一CU-CP来生成第一用户面安全密钥;在图3B所示的第二种密钥生成方法中,由第一CU-UP来生成第一用户面安全密钥。
下面将结合图4~图7,对本申请实施例的方案做进一步说明。图4~图7所示的方法中,以第一CU-CP为目标集中式单元的控制面实体(表示为T-CU-CP),第二CU-CP为源集中式单元的控制面实体(表示为S-CU-CP),第一CU-UP为目标集中式单元的用户面实体(表示为T-CU-UP)为例进行说明。此外,S-DU表示源分布式单元,S-CU-UP表示源集中式单元的用户面实体,T-DU表示目标分布式单元,AMF表示接入和移动性管理实体。
图4为本申请实施例提供的第一种移动场景下的一种密钥生成方法的通信示意图。图4所示的方法适用于上述图2E所示的第一种移动场景。需要说明的是,图4所示方法的执行基于以下前提:
(1)终端已拥有的密钥包括:KAMF、KgNB、KSUPenc、KSUPint、KSRRCenc、KSRRCint以及密钥相关的参数{NCC=0},此时与NCC关联的终端侧的NH为void或者空。
(2)S-CU-UP已拥有的密钥包括:KSUPenc和KSUPint;
(3)AMF已拥有的密钥包括:KAMF、KgNB、{NH,NCC=1};
(4)S-CU-CP与S-CU-UP互信,即S-CU-CP与S-CU-UP之间的E1接口为受保护的安全通道;
(5)T-CU-CP与T-CU-UP互信,即T-CU-CP与T-CU-UP之间的E1接口为受保护的安全通道。
基于此,图4所示的方法具体包括以下步骤:
步骤401、S-CU-CP作出切换决定。
具体地,S-CU-CP决定终端需要从S-CU-CP、S-CU-UP及S-DU切换至T-CU-CP、T-CU-UP及T-DU。
步骤402、S-CU-CP推衍KCU-CP *。
具体地,可以有以下两种推衍方式:
推衍方式一:
S-CU-CP基于KgNB、PCI和EARFCN_DL生成KgNB *;然后基于KgNB *和T-CU-CP ID生成KCU-CP *。可选地,在生成KCU-CP *时,除了依据KgNB *和T-CU-CP ID外,还可以依据密钥生成其他参数。例如,具体可以为,KgNB *=KDF(KgNB,PCI,EARFCN_DL),KCU-CP *=KDF(KgNB *,T-CU-CP ID,密钥生成其他参数)。
其中,上述密钥生成其他参数可以包括以下至少一项:Instance ID,CU-UP ID,CUID,gNB的标识,CU-CP ID,DU ID,flow ID,承载信息,会话信息,切片ID,MAC层标识,RRC信令计数器,NAS count,新鲜参数的至少一项;若使用了新鲜参数,则此参数需要最终发送给UE,新鲜参数可以为:Count,Nonce,Random number等。
此处的ID(identity)可以理解为能够标识某一个网络实体的特定参数。例如Instance ID为标识某一实例(instance)的特定参数,CU-UP ID为标识某一CU-UP特定参数,等等。
推衍方式二:
S-CU-CP基于KgNB生成KCU-CP;然后基于KCU-CP和T-CU-CP ID生成KCU-CP *。例如,KCU-CP *=KDF(KCU-CP,T-CU-CP ID,密钥生成其他参数)。
步骤403、S-CU-CP向T-CU-CP发送切换请求,切换请求包括KCU-CP *、NCC和源侧的安全算法。
其中,源测的安全算法包括终端的安全能力。
示例性地,该切换请求中还可以包括Count。该Count可以为统计生成KCU-CP *的次数。即该Count是一个计数。
也可以,在目标侧开始引入或统计该计数。就可以由T-CU-CP生成KCU-CP *时自己就选择一个开始计数,表明目标侧的密钥开始一轮新的变换了。
可选地,该切换请求可以是Xn切换请求。
步骤404、T-CU-CP进行接入控制,选择T-CU-UP,确定T-DU。
步骤405、T-CU-CP基于KCU-CP *生成KTRRCenc和KTRRCint。
具体地,T-CU-CP可以基于KCU-CP *和选择的算法生成KTRRCenc和KTRRCint。
示例性地,可以采用以下生成方式:
T-CU-CP基于KCU-CP *、目标侧控制面加密算法标识、目标侧控制面加密算法类型标识和密钥生成其他参数生成KTRRCenc。例如,KTRRCenc=KDF(KCU-CP *,目标侧控制面加密算法标识,目标侧控制面加密算法类型标识,密钥生成其他参数)。T-CU-CP基于KCU-CP *、目标侧控制面完整性算法标识、目标侧控制面完整性算法类型标识和密钥生成其他参数生成KTRRCint。例如,KTRRCint=KDF(KCU-CP *,目标侧控制面完整性算法标识,目标侧控制面完整性算法类型标识,密钥生成其他参数)。
示例性地,上述选择的算法可以采用以下方式选择:
T-CU-CP中预置了自身的算法优先级列表,T-CU-CP在生成密钥时,需要考虑本地的算法优先级列表。
步骤406、T-CU-CP与T-DU之间建立F1承载。
其中,T-CU-CP可以在F1承载的建立过程中向T-DU通知承载建立相关信息,例如TEID信息等。可选地,T-CU-CP还可以在此过程中向T-DU发送终端的上下文信息。
T-DU也可以在此过程中向T-CU-CP发送承载信息或会话信息、TEID信息、T-CU-UPID、T-DU ID等。
步骤407、T-CU-CP基于KCU-CP *生成KTUPenc和KTUPint。
具体地,T-CU-CP可以基于KCU-CP *、选择的算法、T-DU发送的承载信息或会话信息、TEID信息、T-CU-UP ID、T-DU ID等生成KTUPenc和KTUPint。例如,KTUPenc=KDF(KCU-CP *,bear ID、DRB ID和会话ID中的至少一项,T-CU-UP管理的用户面加密算法标识,T-CU-UP管理的用户面加密算法类型标识,密钥生成其他参数);KTUPint=KDF(KCU-CP *,bear ID、DRB ID和会话ID中的至少一项,T-CU-UP管理的用户面完整性算法标识,T-CU-UP管理的用户面完整性算法类型标识,密钥生成其他参数)。
示例性地,上述选择的算法可以采用以下两种方式选择:
选择方式一:
T-CU-CP中预置了其管理的一个或多个CU-UP的算法优先级列表,T-CU-CP在生成密钥时,需要考虑本地的CU-UP的算法优先级。也有可能CP面和UP面的算法和算法优先级相同,T-CU-CP中只配置了这种统一的一种,则T-CU-CP生成密钥时参考就可以。也有可能CP面和UP面的算法和算法优先级均不同,则T-CU-CP生成CP面密钥时参考CP面的安全算法配置,生成UP面密钥时参考UP面安全算法配置。
选择方式二:
T-CU-UP的算法优先级列表保存在该T-CU-UP自身内,T-CU-CP可以向T-CU-UP发送请求,然后T-CU-UP向T-CU-CP发送该T-CU-UP的算法优先级列表。
需要说明的是,由于不同CU-UP支持的算法的优先级可能不同,所以不同CU-UP对应的用户面密钥也可能不同。
可选地,若步骤403中的切换请求中包括count,且源侧未执行加1的动作,则此处count+1。或者目标侧自己在此时定义count,并加1。
步骤408、T-CU-CP与T-CU-UP之间建立E1承载。
其中,T-CU-CP可以在E1承载的建立过程中向T-CU-UP发送KTUPenc和KTUPint。可选地,T-CU-CP还可以在此过程中向T-CU-UP发送对应的安全算法。
步骤409、T-CU-CP向S-CU-CP发送切换请求响应。
可选地,切换请求响应可以包括以下内容中的至少一项:目标侧的标识、新鲜性参数和目标侧的安全算法。其中,目标侧的标识可以包括T-DU ID、T-CU-CP ID、T-CU-UP ID等。新鲜性参数可以包括count、nonce、random number等计算目标侧密钥用到的新鲜参数。即需要包括计算目标侧CP面和UP面密钥时用到的参数。
在一种可能的实现方式中,上述切换请求响应中所包括的各项信息可以通过透明的容器(containner)发送。
示例性地,上述切换请求响应可以是Xn切换请求响应。
步骤410、S-CU-CP向终端发送RRC重配置消息。
其中,RRC重配置消息包括终端用于推衍控制面密钥的参数和终端用于推衍用户面密钥的参数。示例性地,终端用于推衍控制面密钥的参数包括以下至少一项:目标侧的PCI,下行频点,T-CU-CP ID,T-CU-ID,目标侧控制面算法标识,目标侧控制面算法类型标识,密钥生成其他参数等;终端用于推衍用户面密钥的参数包括以下至少一项:bear ID、DRB ID和会话ID中的至少一项,T-CU-UP管理的算法标识,T-CU-UP管理的算法类型标识,密钥生成其他参数等。
可选地,RRC重配置消息还可以包括以下内容中的至少一项:目标侧的标识、新鲜性参数和目标侧的安全算法。其中,目标侧的标识可以包括T-DU ID、T-CU-CP ID、T-CU-UPID等。新鲜性参数可以包括count、nonce等。
在一种可能的实现方式中,上述RRC重配置消息中所包括的各项信息可以通过透明的容器(containner)发送。
步骤411、终端去注册源侧信息。
步骤412、终端根据上述RRC重配置消息携带的参数,生成对应的控制面和用户面的保护密钥。
步骤413、T-CU-UP对用户面进行加密和完整性保护。
具体地,T-CU-UP可以对用户面进行基于承载或会话的加密和完整性保护。
步骤414、T-CU-CP对控制面进行加密和完整性保护。
至此,终端与T-CU-CP、T-CU-UP之间可以安全地进行对应的控制面的信令传输和用户面的数据传输了。
步骤415、T-CU-CP与AMF之间进行切换过程中的NH,NCC刷新。
其中,上述刷新过程包括路径转换信息的更新。
步骤416、T-CU-CP通知S-CU-CP进行上下文释放。
图5为本申请实施例提供的第一种移动场景下的另一种密钥生成方法的通信示意图。图5所示的方法适用于上述图2E所示的第一种移动场景。图5所示方法的执行与图4基于相同的前提,此外,图5所示方法中,与图4相同或相似的内容可以参考图4中的详细描述,不再赘述。
图5所示的方法包括步骤501~517,其中,步骤501与步骤401相同,步骤504与步骤404相同,步骤506~517与步骤404~416相同,此处不做赘述。
图5所示方法与图4所示方法的不同之处在于步骤502、503和505。
步骤502、S-CU-CP推衍KgNB *。
具体地,S-CU-CP可以基于KgNB、PCI和EARFCN_DL生成KgNB *,例如可以为,KgNB *=KDF(KgNB,PCI,EARFCN_DL)。
步骤503、S-CU-CP向T-CU-CP发送切换请求,切换请求包括,KgNB *、NCC和源侧的安全算法。
其中,源测的安全算法包括终端的安全能力。
示例性地,该切换请求中还可以包括count。
可选地,该切换请求可以是Xn切换请求。
步骤505、T-CU-CP基于KgNB *生成KCU-CP *。
示例性地,T-CU-CP可以基于KgNB *直接生成KCU-CP *;或者,T-CU-CP可以先基于KgNB *生成KCU-CP,再基于KCU-CP生成KCU-CP *。
图6为本申请实施例提供的第一种移动场景下的又一种密钥生成方法的通信示意图。图6所示的方法适用于上述图2E所示的第一种移动场景。图6所示方法的执行与图4基于相同的前提,此外,图6所示方法中,与图4相同或相似的内容可以参考图4中的详细描述,不再赘述。
图6所示的方法包括步骤601~618,其中,步骤601~606与步骤401~406相同,步骤611~618与步骤409~416相同,此处不做赘述。
图5所示方法与图4所示方法的不同之处在于步骤607~610。
步骤607、T-CU-CP与T-CU-UP之间建立E1承载。
其中,T-CU-CP可以在E1承载的建立过程中向T-CU-UP发送KCU-CP *。这种情况下,步骤608不执行。
步骤608,T-CU-CP在E1承载建立之后向T-CU-UP发送KCU-CP *。
需要说明的是,步骤608为可选的,若T-CU-CP未在上述E1承载的建立过程中向T-CU-UP发送KCU-CP *,则执行此步骤608。
步骤609、T-CU-UP基于KCU-CP *生成KTUPenc和KTUPint。
具体地,T-CU-UP可以基于KCU-CP *和选择的算法生成KTUPenc和KTUPint。其中,具体生成方式与图4的步骤407中T-CU-CP生成KTUPenc和KTUPint的生成方式类似,此处不做赘述。
示例性地,上述选择的算法可以采用以下两种方式选择:
选择方式一:
T-CU-CP中预置了其管理的一个或多个CU-UP的算法优先级列表,由T-CU-CP向该T-CU-UP发送对应的算法优先级列表。可选的,T-CU-CP可以在该T-CU-UP请求后向该T-CU-UP发送对应的算法优先级列表。
选择方式二:
T-CU-UP的算法优先级列表保存在该T-CU-UP自身内,T-CU-UP获取本地保存的算法优先级列表即可。
步骤610、T-CU-UP向T-CU-CP发送KTUPenc和KTUPint。
图7为本申请实施例提供的第一种移动场景下的再一种密钥生成方法的通信示意图。图7所示的方法适用于上述图2E所示的第一种移动场景。图7所示方法的执行与图5基于相同的前提,此外,图7所示方法中,与图5相同或相似的内容可以参考图5中的详细描述,不再赘述。
图7所示的方法包括步骤701~718,其中,步骤701~707与步骤501~507相同,步骤712~719与步骤510~517相同,此处不做赘述。
图7所示方法与图5所示方法的不同之处在于步骤708~711。
步骤708、T-CU-CP与T-CU-UP之间建立E1承载。
其中,T-CU-CP可以在E1承载的建立过程中向T-CU-UP发送KgNB *和/或KCU-CP *。这种情况下,步骤709不执行。
步骤709,T-CU-CP在E1承载建立之后向T-CU-UP发送KgNB *和/或KCU-CP *。
需要说明的是,步骤709为可选的,若T-CU-CP未在上述E1承载的建立过程中向T-CU-UP发送KgNB *和/或KCU-CP *,则执行此步骤709。
步骤710、T-CU-UP推衍KTUPenc和KTUPint。
具体地,可以有以下三种推衍方式:
推衍方式一:若T-CU-UP接收到的是KgNB *,则T-CU-UP首先可以基于KgNB *生成KCU-CP *。示例性地,T-CU-UP可以基于KgNB *直接生成KCU-CP *;或者,T-CU-UP可以先基于KgNB *生成KCU-CP,再基于KCU-CP生成KCU-CP *。然后,T-CU-UP基于KCU-CP *生成KTUPenc和KTUPint。其中,T-CU-UP基于KCU-CP *生成KTUPenc和KTUPint的过程,与图6的步骤609相同,可以参考步骤609的描述,此处不做赘述。
推衍方式二:若T-CU-UP接收到的是KCU-CP *,则T-CU-UP基于KCU-CP *生成KTUPenc和KTUPint。其中,T-CU-UP基于KCU-CP *生成KTUPenc和KTUPint的过程,与图6的步骤609相同,可以参考步骤609的描述,此处不做赘述。
推衍方式三:若T-CU-UP接收到的是KgNB *和KCU-CP *,则T-CU-UP可以选择根据KgNB *或KCU-CP *来推衍KTUPenc和KTUPint。其中,具体实现方式可以参考上面的描述,此处不做赘述。
步骤711、T-CU-UP向T-CU-CP发送KTUPenc和KTUPint。
从上述图4~图7的描述可以看出,在图4和图6所示方法中,由S-CU-CP推衍KCU-CP *;而在图5和图7所示方法中,由T-CU-CP推衍KCU-CP *。在图4和图5所示的方法中,由T-CU-CP推衍KTUPenc和KTUPint;而在图6和图7所示的方法中,由T-CU-UP推衍KTUPenc和KTUPint。
需要说明的是,本申请中,S-CU-CP或T-CU-CP也可以不推衍KCU-CP *,而是由T-CU-CP或T-CU-UP基于KgNB *直接推衍KTUPenc和KTUPint。
在一种可能的实现方式中,在图5所示的方法中,T-CU-CP可以不推衍KCU-CP *,而是基于KgNB *直接推衍KTRRCenc、KTRRCint、KTUPenc和KTUPint。具体地,这种情形下,不执行步骤505;步骤506替换为以下步骤:T-CU-CP基于KgNB *生成KTRRCenc和KTRRCint;步骤508替换为以下步骤:T-CU-CP基于KgNB *生成KTUPenc和KTUPint。
类似的,在一种可能的实现方式中,在图7所示的方法中,T-CU-CP可以不推衍KCU-CP *,而是基于KgNB *直接推衍KTRRCenc和KTRRCint。具体地,在这种情形下,不执行步骤705;步骤706替换为以下步骤:T-CU-CP基于KgNB *生成KTRRCenc和KTRRCint。此外,在步骤709中,T-CU-CP向T-CU-UP发送的是KgNB *。对应的,在步骤710中,T-CU-UP基于KgNB *生成KTUPenc和KTUPint。
上面结合图4~图7描述了本申请实施例的方案在第一种移动场景下的各种实施方式,下面结合图8对本申请实施例的方案在第二种移动场景下的实施方式进行介绍。图8所示的方法中,以第一CU-CP为图8中的集中式单元的控制面实体(表示为CU-CP),第一CU-UP为目标集中式单元的用户面实体(表示为T-CU-UP)为例进行说明。此外,S-DU表示源分布式单元,S-CU-UP表示源集中式单元的用户面实体,T-DU表示目标分布式单元,UPF表示用户面功能实体。
图8为本申请实施例提供的第二种移动场景下的一种密钥生成方法的通信示意图。图4所示的方法适用于上述图2F所示的第二种移动场景。图8所示的方法具体包括以下步骤:
步骤801、CU-CP推衍KTUPenc和KTUPint。
具体地,CU-CP可以基于KgNB或KCU-CP推衍KTUPenc和KTUPint。
在一种可能的实施方式中,CU-CP基于KgNB、当前的安全算法和CU-UP ID生成KTUPenc和KTUPint。例如,KTUPenc=KDF(KgNB,当前的用户面加密算法,CU-UP ID);KTUPint=KDF(KgNB,当前的用户面完整性算法,CU-UP ID)。
在另一种可能的实现方式中,CU-CP基于KCU-CP、当前的安全算法和CU-UP ID生成KTUPenc和KTUPint。例如,KTUPenc=KDF(KCU-CP,当前的用户面加密算法,CU-UP ID);KTUPint=KDF(KCU-CP,当前的用户面完整性算法,CU-UP ID)。
需要说明的是,步骤801为可选的步骤。
步骤802、CU-CP接收来自终端的测量报告。
示例性地,终端由于移动到T-DU和T-CU-UP的范围,向CU-CP发送测量报告。
步骤803、CU-CP作出切换决定。
步骤804、CU-CP与T-DU之间建立F1承载。
其中,CU-CP可以在F1承载的建立过程中向T-DU通知承载建立相关信息,例如TEID信息等。可选地,CU-CP还可以在此过程中向T-DU发送终端的上下文信息。
T-DU也可以在此过程中向CU-CP发送承载信息或会话信息、TEID信息、T-CU-UPID、T-DU ID等。
步骤805、CU-CP与T-CU-UP之间建立E1承载。
需要说明的是,若上述步骤801不执行,则CU-UP在E1承载的建立过程中推衍KTUPenc和KTUPint。其中,具体推衍过程可以参考步骤801的描述,此处不做赘述。若上述步骤801执行,则CU-UP不在E1承载的建立过程中推衍KTUPenc和KTUPint。
其中,CU-CP可以在E1承载的建立过程中向T-CU-UP发送KTUPenc和KTUPint。可选地,CU-CP还可以在此过程中向T-CU-UP发送对应的安全算法。
步骤806、CU-CP向S-CU-UP发送源承载释放请求。
其中,该源承载释放请求中可以包括T-CU-UP的指示、CU-UP的改变指示、数据转发信息等。
步骤807、CU-CP向S-DU发送F1接口通知信息。
其中,F1接口通知信息包括终端的上下文信息、TEID、DRB变化信息等。
进一步的,CU-CP还可以通知S-DU释放源上下文。
步骤808、CU-CP向终端发送RRC重配置消息。
其中,RRC重配置消息包括终端用于推衍用户面密钥的参数。
示例性地,终端用于推衍用户面密钥的参数包括以下至少一项:T-DU ID、T-CU-UPID和密钥生成其他参数。进一步的,终端用于推衍用户面密钥的参数还可以包括带宽以及CU-CP为终端分配的新的CRNTI。
步骤809、终端更新承载信息。
步骤810、终端根据上述参数生成对应的用户面的保护密钥。
步骤811、T-CU-UP对用户面进行基于承载或会话的加密保护和完整性保护。
步骤812、CU-CP与UPF之间进行路径更新。
除提供上述密钥生成方法和密钥传递方法外,本申请实施例还提供一种安全上下文的获取方法,和基于该方法的统一数据存储网元,第一集中式单元的控制面实体和集中式单元的用户面实体。该方法包括:统一数据存储网元接收来自集中式单元的控制面实体的安全上下文,该安全上下文包括用户面安全上下文和控制面安全上下文;统一数据存储网元存储该安全上下文;统一数据存储网元向集中式单元的用户面实体发送该安全上下文。
在一种可能的实施方式中,统一数据存储网元可以根据凭证信息向集中式单元的用户面实体发送该安全上下文。其中,该凭证信息为该集中式单元的用户面实体从统一数据存储网元处获取该安全上下文的凭证。示例性地,该凭证信息可以为token。进一步的,该凭证信息可以由集中式单元的控制面实体分配;或者,该凭证信息可以由统一数据存储网元生成。
其中,上述统一数据存储网元可以为非结构化数据存储功能(Unstructured DataStorage Function,UDSF)实体。
UDSF实体为一个公共的安全实体,可能存储了所有安全相关信息。其中,安全相关信息可以包括控制面的安全信息和用户面的安全信息。例如,控制面的安全信息可以包括:安全性算法,包括加密算法类型,加密算法类型标识,完整性算法类型,完整性算法类型标识,UE的安全能力,接入网元的安全能力,网络侧的安全能力,UE和网络侧的算法优先级列表,接入网元的算法优先级列表等用户面的安全信息可以包括:用户面安全性算法,包括加密算法类型,加密算法类型标识,完整性算法类型,完整性算法类型标识,UE的安全能力,接入网元的安全能力,网络侧的安全能力,UE和网络侧的算法优先级列表,接入网元的算法优先级列表等。UDSF还可以包括安全密钥,密钥生存周期,密钥标识(KSI:key setidentifier),密钥生成相关的参数,如当时的新鲜参数,NAS COUNT,PCI等。UDSF可以存储从CU-CP获取的安全上下文,也可以自身生成安全上下文。一个CU-CP或一个CU-UP可以从UDSF处获取所需的安全信息。
在实际部署时,UDSF可以是一个独立的实体,也可以与CU-CP合设,还可以与其他网元合设,本申请实施例对此不作限定。
在图8所示方法的基础上,图9为本申请实施例提供的第二种移动场景下的另一种密钥生成方法的示意图。图9所示的方法中,与图8相同或相似的内容可以参考图8中的详细描述,后续不再赘述。
相比图8所示的方法,图9所示的方法中增加了CU-CP以及T-CU-UP与UDSF的交互过程。
下面对图9所示的方法进行介绍,图9所示的方法包括步骤901~914。其中,步骤901~904与图8的步骤801~804相同,步骤907~914与图8的步骤805~812相同,可以参考图8中的详细描述,此处不做赘述。图9所示方法与图8所示方法的主要区别在于:图9所示方法中增加了步骤905和步骤906。
步骤905、CU-CP将安全上下文存储到UDSF上。
具体地,CU-CP可以将安全上下文和其他相关信息存储到UDSF上。其中,安全上下文一般是指:密钥,密钥标识,UE的安全能力,算法优先级列表(UE,接入网元,核心网(AMF)),计算密钥相关的参数,如NAS COUNT,{NH,NCC}对。
其他相关信息可以包括:源侧目标侧的ID标识,密钥长度,密钥生成周期,频点,小区标识,会话ID,Bear ID,flow ID,可能还有切片相关的信息等。
示例性地,CU-CP还可以给UDSF分配一个token;或者,UDSF可以向CU-CP发送一个token。其中,token是指允许目标侧CU-CP访问UDSF的凭证。Token的内容示例性的为:T-CU-CP ID,T-CU-UP ID,会话ID,Bear ID,flow ID,expiry time/date,UDSF的标识,授权访问的业务范围(比如可以获取密钥,可以获取算法等)。
步骤906、T-CU-UP从UDSF获取安全上下文。
示例性地,T-CU-UP可以根据token从UDSF获取安全上下文。例如,T-CU-UP向UDSF发送请求,该请求用于请求安全上下文且该请求携带token;对应的,UDSF接收携带token的请求后,向T-CU-UP发送安全上下文。
需要说明的是,上文所述的各个方法示例中,当第二CU-CP(或S-CU-CP)向第一CU-CP(或T-CU-CP)传输信息(例如终端的安全能力)时,还可以在传输时一并传递UP面或DRB或会话的完整性保护和/或加密保护的指示标识。对应的,为了保证终端移动时业务不间断,第一CU-CP(或T-CU-CP)需要根据该指示标识判断是否开启UP面或DRB或会话的完整性保护和/或加密保护;如开启,则第一CU-CP(或T-CU-CP)进一步进行相应的完整性保护和/或加密保护的处理,并通知对应的CU-UP和/或DU。
上述主要从不同网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,第一集中式单元的控制面实体、第一集中式单元的用户面实体、统一数据存储网元和终端为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。结合本申请中所公开的实施例描述的各示例的单元及算法步骤,本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的技术方案的范围。
本申请实施例可以根据上述方法示例对第一集中式单元的控制面实体、第一集中式单元的用户面实体、统一数据存储网元和终端等进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用集成的单元的情况下,图10示出了本申请实施例中所涉及的一种装置的一种可能的示例性框图,该装置1000可以以软件、硬件或软硬结合的形式存在。图10示出了本申请实施例中所涉及的装置的一种可能的示意性框图。装置1000包括:处理单元1002和通信单元1003。处理单元1002用于对装置的动作进行控制管理。通信单元1003用于支持装置与其他设备的通信。装置还可以包括存储单元1001,用于存储装置的程序代码和数据。
图10所示的装置1000可以是本申请实施例所涉及的第一集中式单元的控制面实体、第一集中式单元的用户面实体或统一数据存储网元。
当图10所示的装置1000为第一集中式单元的控制面实体时,处理单元1002能够支持装置1000执行上述各方法示例中由第一集中式单元的控制面实体完成的动作,例如,处理单元1002支持装置1000执行图3A中的步骤301和302,图4中的步骤404、405、407和414,图5中的步骤504、505、506、508和515,图6中的步骤604、605和616,图7中的步骤704、705、706和717,图8中的步骤801和803,图9中的步骤901和903,和/或用于本文所描述的技术的其它过程。通信单元1003能够支持装置1000与第一集中式单元的用户面实体、终端、第二集中式单元的控制面实体、第一分布式单元、AMF或UPF等之间的通信,例如,通信单元1003支持装置1000执行图3A中的步骤303和304,图3B中的步骤313和314,图4中的步骤403、406、408、409、415和416,图5中的步骤503、507、509、510、516和517,图6中的步骤603、606、607、608、610、611、617和618,图7中的步骤703、707、708、709、711、712、718和719,图8中的步骤802、804、805、806、807、808和812,图9中的步骤902、904、905、907、908、909、910和914,和/或其他相关的通信过程。
当图10所示的装置1000为第一集中式单元的用户面实体时,处理单元1002能够支持装置1000执行上述各方法示例中由第一集中式单元的用户面实体完成的动作,例如,处理单元1002支持装置1000执行图3B中的步骤311和312,图4中的步骤413,图5中的步骤514,图6中的步骤609和615,图7中的步骤710和716,图8中的步骤811,图9中的步骤913,和/或用于本文所描述的技术的其它过程。通信单元1003能够支持装置1000与第一集中式单元的控制面实体等之间的通信,例如,通信单元1003支持装置1000执行图3A中的步骤303,图3B中的步骤313,图4中的步骤408,图5中的步骤509,图6中的步骤607、608和610,图7中的步骤708、709和711,图8中的步骤805,图9中的步骤906和907,和/或其他相关的通信过程。
当图10所示的装置1000为统一数据存储网元时,处理单元1002能够支持装置1000执行上述各方法示例中由统一数据存储网元完成的动作。通信单元1003能够支持装置1000与第一集中式单元的控制面实体、第一集中式单元的用户面实体等之间的通信,例如,通信单元1003支持装置1000执行图9中的步骤905和906,和/或其他相关的通信过程。
示例性地,处理单元1002可以是处理器或控制器,例如可以是中央处理器(Central Processing Unit,CPU),通用处理器,数字信号处理器(Digital SignalProcessor,DSP),专用集成电路(Application-Specific Integrated Circuit,ASIC),现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,单元和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1303可以是通信接口,该通信接口是统称,在具体实现中,该通信接口可以包括一个或多个接口。存储单元1001可以是存储器。
当处理单元1002为处理器,通信单元1003为通信接口,存储单元1001为存储器时,本申请实施例所涉及的装置1000可以为图11所示的装置1100。
参阅图11所示,该装置1100包括:处理器1102和通信接口1103。进一步地,该装置1100还可以包括存储器1101。可选的,装置1100还可以包括总线1104。其中,通信接口1103、处理器1102以及存储器1101可以通过总线1104相互连接;总线1104可以是外设部件互连标准(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准结构(ExtendedIndustry Standard Architecture,简称EISA)总线等。所述总线1104可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
其中,处理器1102可以通过运行或执行存储在存储器1101内的程序,执行所述装置1100的各种功能。
示例性地,图11所示的装置1100可以是本申请实施例所涉及的第一集中式单元的控制面实体、第一集中式单元的用户面实体或统一数据存储网元。
当装置1100为第一集中式单元的控制面实体时,处理器1102可以通过运行或执行存储在存储器1101内的程序,执行上述各方法示例中由第一集中式单元的控制面实体完成的动作。当装置1100为第一集中式单元的用户面实体时,处理器1102可以通过运行或执行存储在存储器1101内的程序,执行上述各方法示例中由第一集中式单元的用户面实体完成的动作。
当装置1100为统一数据存储网元时,处理器1102可以通过运行或执行存储在存储器1101内的程序,执行上述各方法示例中由第一集中式单元的统一数据存储网元的动作。
在采用集成的单元的情况下,图12示出了本申请实施例中所涉及的另一种装置的一种可能的示例性框图,该装置1200可以以软件、硬件或软硬结合的形式存在。图12示出了本申请实施例中所涉及的装置的一种可能的示意性框图。装置1200包括:处理单元1202和通信单元1203。处理单元1202用于对装置的动作进行控制管理。通信单元1203用于支持装置与其他设备的通信。装置还可以包括存储单元1201,用于存储装置的程序代码和数据。
图12所示的装置1200可以是终端,也可以为应用于终端的芯片。处理单元1202能够支持装置1200执行上述各方法示例中由终端完成的动作,例如,处理单元1202支持装置1202执行图3A中的步骤305,图3B中的步骤315,图4中的步骤411和412,图5中的步骤512和513,图6中的步骤613和614,图7中的步骤714和715,图8中的步骤809和810,图9中的步骤911和912,和/或用于本文所描述的技术的其它过程。通信单元1203能够支持装置1200与第一集中式单元的控制面实体、第二集中式单元的控制面实体等之间的通信,例如,通信单元1203支持装置1200执行图3A中的步骤305,图3B中的步骤315,图4中的步骤410,图5中的步骤511,图6中的步骤612,图7中的步骤713,图8中的步骤802和808,图9中的步骤902和910,和/或其他相关的通信过程。
示例性地,处理单元1202可以是处理器或控制器,例如可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,单元和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1203可以是通信接口,该通信接口是统称,在具体实现中,该通信接口可以包括一个或多个接口。存储单元1201可以是存储器。
当处理单元1202为处理器,通信单元1203为收发器,存储单元1201为存储器时,本申请实施例所涉及的装置1200可以为图13所示的终端。
图13示出了本申请实施例中所涉及的终端的一种可能的设计结构的简化示意图。所述终端1300包括发射器1301,接收器1302和处理器1303。其中,处理器1303也可以为控制器,图13中表示为“控制器/处理器1303”。可选的,所述终端1300还可以包括调制解调处理器1305,其中,调制解调处理器1305可以包括编码器1306、调制器1307、解码器1308和解调器1309。
在一个示例中,发射器1301调节(例如,模拟转换、滤波、放大和上变频等)该输出采样并生成上行链路信号,该上行链路信号经由天线发射给上述实施例中所述的基站。在下行链路上,天线接收上述实施例中基站发射的下行链路信号。接收器1302调节(例如,滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在调制解调处理器1305中,编码器1306接收要在上行链路上发送的业务数据和信令消息,并对业务数据和信令消息进行处理(例如,格式化、编码和交织)。调制器1307进一步处理(例如,符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器1309处理(例如,解调)该输入采样并提供符号估计。解码器1308处理(例如,解交织和解码)该符号估计并提供发送给终端1300的已解码的数据和信令消息。编码器1306、调制器1307、解调器1309和解码器1308可以由合成的调制解调处理器1305来实现。这些单元根据无线接入网采用的无线接入技术(例如,LTE、5G及其他演进***的接入技术)来进行处理。需要说明的是,当终端1300不包括调制解调处理器1305时,调制解调处理器1305的上述功能也可以由处理器1303完成。
处理器1303对终端1300的动作进行控制管理,用于执行上述本申请实施例中由终端1300进行的处理过程。例如,处理器1303还用于执行3A至图9所示方法中涉及终端的处理过程和/或本申请所描述的技术方案的其他过程。
进一步的,终端1300还可以包括存储器1304,存储器1304用于存储用于终端1300的程序代码和数据。
结合本申请实施例公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(Read Only Memory,ROM)、可擦除可编程只读存储器(Erasable Programmable ROM,EPROM)、电可擦可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于集中式单元的控制面实体、集中式单元的用户面实体、终端或统一数据存储网元中。当然,处理器和存储介质也可以作为分立组件存在于集中式单元的控制面实体、集中式单元的用户面实体、终端或统一数据存储网元中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本申请实施例的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请实施例的具体实施方式而已,并不用于限定本申请实施例的保护范围,凡在本申请实施例的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本申请实施例的保护范围之内。
Claims (28)
1.一种密钥生成方法,其特征在于,应用于第一基站包括第一集中式单元且所述第一集中式单元包括控制面实体和用户面实体,所述方法包括:
所述第一集中式单元的控制面实体获取根密钥;
所述第一集中式单元的控制面实体根据所述第一集中式单元的用户面实体的算法优先级列表选择第一安全算法,其中,所述算法优先级列表包括所述第一安全算法;
所述第一集中式单元的控制面实体基于所述根密钥和所述第一安全算法生成第一用户面安全密钥,所述第一用户面安全密钥为所述第一集中式单元的用户面实体与终端之间使用的用户面安全密钥,所述第一用户面安全密钥包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项,所述第一安全算法为所述第一集中式单元的用户面实体与所述终端之间使用的安全算法;
所述第一集中式单元的控制面实体向所述第一集中式单元的用户面实体发送所述第一用户面安全密钥。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一集中式单元的控制面实体在E1承载的建立过程中向所述第一集中式单元的用户面实体发送第一安全算法。
3.根据权利要求1所述的方法,其特征在于,所述第一基站还包括第一分布式单元,所述第一集中式单元的控制面实体基于所述根密钥和所述第一安全算法生成第一用户面安全密钥,包括:
所述第一集中式单元的控制面实体基于所述第一集中式单元的用户面实体的标识、所述第一分布式单元的标识、承载信息、会话信息和隧道端点标识TEID信息中的至少一项以及所述根密钥和所述第一安全算法,生成所述第一用户面安全密钥。
4.根据权利要求1所述的方法,其特征在于,
所述算法优先级列表保存在所述第一集中式单元的控制面实体中;
或者,所述算法优先级列表保存在所述第一集中式单元的用户面实体中,所述方法还包括:
所述第一集中式单元的控制面实体接收来自所述第一集中式单元的用户面实体的所述算法优先级列表。
5.根据权利要求4所述的方法,其特征在于,所述第一集中式单元的控制面实体接收来自所述第一集中式单元的用户面实体的所述算法优先级列表之前,所述方法还包括:
所述第一集中式单元的控制面实体向所述第一集中式单元的用户面实体请求所述算法优先级列表。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
所述第一集中式单元的控制面实体向所述终端发送用于生成所述第一用户面安全密钥的参数,所述参数包括所述第一安全算法,或所述参数包括所述第一安全算法和以下至少一项:所述第一集中式单元的用户面实体的标识、第一分布式单元的标识、承载信息、会话信息和TEID信息。
7.根据权利要求1至5中任一项所述的方法,其特征在于,所述根密钥为所述第一集中式单元的控制面实体的根密钥,所述第一集中式单元的控制面实体获取根密钥,包括:
所述第一集中式单元的控制面实体接收来自第二集中式单元的控制面实体的所述第一集中式单元的控制面实体的根密钥;或者,
所述第一集中式单元的控制面实体接收来自第二集中式单元的控制面实体的所述第一基站的根密钥,并根据所述第一基站的根密钥生成所述第一集中式单元的控制面实体的根密钥;
其中,所述第二集中式单元为第二基站所包括的集中式单元。
8.根据权利要求1至5中任一项所述的方法,其特征在于,所述根密钥为所述第一基站的根密钥,所述第一集中式单元的控制面实体获取根密钥,包括:
所述第一集中式单元的控制面实体接收来自第二集中式单元的控制面实体的所述第一基站的根密钥;其中,所述第二集中式单元为第二基站所包括的集中式单元。
9.一种密钥生成方法,其特征在于,应用于第一基站包括第一集中式单元且第一集中式单元包括控制面实体和用户面实体,所述方法包括:
所述第一集中式单元的用户面实体接收来自所述第一集中式单元的控制面实体的第一用户面安全密钥,所述第一用户面安全密钥为所述第一集中式单元的用户面实体与终端之间使用的用户面安全密钥,所述第一用户面安全密钥包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项,所述第一用户面安全密钥为所述第一集中式单元的控制面实体基于根密钥和所述第一集中式单元的用户面实体与所述终端之间使用的第一安全算法生成的,所述第一安全算法被包含在所述第一集中式单元的用户面实体的算法优先级列表中。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述第一集中式单元的用户面实体在E1承载的建立过程中接收所述第一集中式单元的用户面实体发送的第一安全算法。
11.根据权利要求9所述的方法,其特征在于,所述第一基站还包括第一分布式单元,所述第一用户面安全密钥基于所述第一集中式单元的用户面实体的标识、所述第一分布式单元的标识、承载信息、会话信息和隧道端点标识TEID信息中的至少一项以及所述根密钥和所述第一安全算法生成。
12.根据权利要求9所述的方法,其特征在于,
所述算法优先级列表保存在所述第一集中式单元的控制面实体中;
或者,所述算法优先级列表保存在所述第一集中式单元的用户面实体中,所述方法还包括:
所述第一集中式单元的用户面实体向所述第一集中式单元的控制面实体发送所述算法优先级列表。
13.根据权利要求12所述的方法,其特征在于,所述第一集中式单元的用户面实体向所述第一集中式单元的控制面实体发送所述算法优先级列表之前,所述方法还包括:
所述第一集中式单元的用户面实体从所述第一集中式单元的控制面实体接收请求,所述请求用于请求所述算法优先级列表。
14.根据权利要求11至13中任一项所述的方法,其特征在于,所述根密钥为所述第一基站的根密钥或所述第一集中式单元的控制面实体的根密钥。
15.一种密钥生成方法,其特征在于,应用于第一基站包括第一集中式单元且所述第一集中式单元包括控制面实体和用户面实体,所述方法包括:
所述第一集中式单元的用户面实体获取根密钥;
所述第一集中式单元的用户面实体根据所述第一集中式单元的用户面实体的算法优先级列表选择第一安全算法,其中,所述算法优先级列表包括所述第一安全算法;
所述第一集中式单元的用户面实体基于所述根密钥和所述第一安全算法生成第一用户面安全密钥,所述第一用户面安全密钥为所述第一集中式单元的用户面实体与终端之间使用的用户面安全密钥,所述第一用户面安全密钥包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项,所述第一安全算法为所述第一集中式单元的用户面实体与所述终端之间使用的安全算法。
16.根据权利要求15所述的方法,其特征在于,所述第一基站还包括第一分布式单元,所述第一集中式单元的用户面实体基于所述根密钥和所述第一安全算法生成第一用户面安全密钥,包括:
所述第一集中式单元的用户面实体基于所述第一集中式单元的用户面实体的标识、所述第一分布式单元的标识、承载信息、会话信息和隧道端点标识TEID信息中的至少一项以及所述根密钥和所述第一安全算法,生成所述第一用户面安全密钥。
17.根据权利要求15所述的方法,其特征在于,
所述算法优先级列表保存在所述第一集中式单元的用户面实体中;
或者,所述算法优先级列表保存在所述第一集中式单元的控制面实体中,所述方法还包括:
所述第一集中式单元的用户面实体接收来自所述第一集中式单元的控制面实体的所述算法优先级列表。
18.根据权利要求17所述的方法,其特征在于,所述第一集中式单元的用户面实体接收来自所述第一集中式单元的控制面实体的所述算法优先级列表之前,所述方法还包括:
所述第一集中式单元的用户面实体向所述第一集中式单元的控制面实体请求所述算法优先级列表。
19.根据权利要求15至18中任一项所述的方法,其特征在于,所述根密钥为所述第一集中式单元的控制面实体的根密钥,所述第一集中式单元的用户面实体在E1承载的建立过程中获取所述根密钥,包括:
所述第一集中式单元的用户面实体在E1承载的建立过程中接收来自所述第一集中式单元的控制面实体的所述第一集中式单元的控制面实体的根密钥;或者,
所述第一集中式单元的用户面实体在E1承载的建立过程中接收来自所述第一集中式单元的控制面实体的所述第一基站的根密钥,并根据所述第一基站的根密钥生成所述第一集中式单元的控制面实体的根密钥。
20.根据权利要求15至18中任一项所述的方法,其特征在于,所述根密钥为所述第一基站的根密钥,所述第一集中式单元的用户面实体在E1承载的建立过程中获取所述根密钥,包括:
所述第一集中式单元的用户面实体在E1承载的建立过程中接收来自所述第一集中式单元的控制面实体的所述第一基站的根密钥。
21.根据权利要求15至18中任一项所述的方法,其特征在于,所述方法还包括:
所述第一集中式单元的用户面实体向所述第一集中式单元的控制面实体发送所述第一用户面安全密钥。
22.一种密钥生成方法,其特征在于,所述方法包括:
终端接收来自第一集中式单元的控制面实体的用于生成第一用户面安全密钥的参数,所述参数包括第一安全算法;
所述终端根据根密钥和所述第一安全算法生成所述第一用户面安全密钥,所述第一用户面安全密钥为所述第一集中式单元的用户面实体与所述终端之间使用的用户面安全密钥;其中,所述第一安全算法为所述第一集中式单元的用户面实体与所述终端之间使用的安全算法,所述第一安全算法被包含在所述第一集中式单元的用户面实体的算法优先级列表中;
其中,所述第一集中式单元为第一基站包括的集中式单元,且所述第一集中式单元包括所述控制面实体和所述用户面实体。
23.一种集中式单元的控制面实体,其特征在于,包括:用于执行权利要求1至8中任一项所述方法中各个步骤的单元。
24.一种集中式单元的用户面实体,其特征在于,包括:用于执行权利要求9至21中任一项所述方法中各个步骤的单元。
25.一种装置,应用于终端,其特征在于,包括:用于执行权利要求22所述方法中各个步骤的单元。
26.一种终端,其特征在于,包括如权利要求25所述的装置。
27.一种基站,其特征在于,包括如权利要求23所述的集中式单元的控制面实体,和如权利要求24所述的集中式单元的用户面实体。
28.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行如权利要求1至22中任一项所述的方法。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810254839.6A CN110365470B (zh) | 2018-03-26 | 2018-03-26 | 一种密钥生成方法和相关装置 |
EP19775693.5A EP3771242A4 (en) | 2018-03-26 | 2019-03-22 | KEY GENERATION PROCESS AND ASSOCIATED DEVICE |
PCT/CN2019/079331 WO2019184832A1 (zh) | 2018-03-26 | 2019-03-22 | 一种密钥生成方法和相关装置 |
US17/031,534 US11533610B2 (en) | 2018-03-26 | 2020-09-24 | Key generation method and related apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810254839.6A CN110365470B (zh) | 2018-03-26 | 2018-03-26 | 一种密钥生成方法和相关装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110365470A CN110365470A (zh) | 2019-10-22 |
CN110365470B true CN110365470B (zh) | 2023-10-10 |
Family
ID=68059448
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810254839.6A Active CN110365470B (zh) | 2018-03-26 | 2018-03-26 | 一种密钥生成方法和相关装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11533610B2 (zh) |
EP (1) | EP3771242A4 (zh) |
CN (1) | CN110365470B (zh) |
WO (1) | WO2019184832A1 (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020260187A1 (en) * | 2019-06-24 | 2020-12-30 | Nokia Technologies Oy | Apparatuses and methods relating to authorisation of network functions |
US11470017B2 (en) * | 2019-07-30 | 2022-10-11 | At&T Intellectual Property I, L.P. | Immersive reality component management via a reduced competition core network component |
CN115428498A (zh) * | 2020-04-24 | 2022-12-02 | 联想(新加坡)私人有限公司 | 相异用户平面安全 |
WO2022025566A1 (en) * | 2020-07-27 | 2022-02-03 | Samsung Electronics Co., Ltd. | Methods and systems for deriving cu-up security keys for disaggregated gnb architecture |
CN112671729B (zh) * | 2020-12-14 | 2022-08-23 | 重庆邮电大学 | 面向车联网的匿名的抗密钥泄露的认证方法、***及介质 |
WO2022160314A1 (zh) * | 2021-01-30 | 2022-08-04 | 华为技术有限公司 | 一种安全参数的获取方法、装置及*** |
CN115701161A (zh) * | 2021-07-31 | 2023-02-07 | 华为技术有限公司 | 建立安全传输通道的方法、确定密钥的方法及通信装置 |
CN115706996A (zh) * | 2021-08-10 | 2023-02-17 | 中国电信股份有限公司 | 安全策略更新***及方法、存储介质与电子设备 |
CN117062055A (zh) * | 2022-05-06 | 2023-11-14 | 华为技术有限公司 | 安全保护方法及通信装置 |
WO2023222190A1 (en) * | 2022-05-17 | 2023-11-23 | Nokia Technologies Oy | Method and apparatus for controlling a user device |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102369765A (zh) * | 2009-02-03 | 2012-03-07 | 华为技术有限公司 | 一种中继传输的方法、中继节点和基站 |
CN102802036A (zh) * | 2012-07-26 | 2012-11-28 | 深圳创维-Rgb电子有限公司 | 一种数字电视认证的***及方法 |
WO2014110908A1 (zh) * | 2013-01-15 | 2014-07-24 | 中兴通讯股份有限公司 | 数据安全传输方法及lte接入网*** |
CN107371155A (zh) * | 2016-05-13 | 2017-11-21 | 华为技术有限公司 | 通信安全的处理方法、装置及*** |
WO2018000936A1 (zh) * | 2016-07-01 | 2018-01-04 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
WO2018009340A1 (en) * | 2016-07-05 | 2018-01-11 | Intel Corporation | Systems, methods and devices for control-user plane separation for 5g radio access networks |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4603256B2 (ja) * | 2003-12-01 | 2010-12-22 | 日本電気株式会社 | ユーザ認証システム |
US20160344641A1 (en) * | 2015-05-22 | 2016-11-24 | The Regents Of The University Of California | Architecture and control plane for data centers |
CN106375989B (zh) * | 2015-07-20 | 2019-03-12 | 中兴通讯股份有限公司 | 实现接入层安全的方法及用户设备和无线接入小节点 |
CN106375992B (zh) * | 2015-07-20 | 2019-08-06 | 中兴通讯股份有限公司 | 实现接入层安全的方法及用户设备和节点 |
US10028307B2 (en) * | 2016-01-13 | 2018-07-17 | Qualcomm Incorporated | Configurable access stratum security |
CN106162730B (zh) * | 2016-07-12 | 2019-11-15 | 上海华为技术有限公司 | 一种通信的方法、设备及*** |
US20180084464A1 (en) * | 2016-09-22 | 2018-03-22 | Qualcomm Incorporated | Long term evolution (lte) handover with the same secondary link |
-
2018
- 2018-03-26 CN CN201810254839.6A patent/CN110365470B/zh active Active
-
2019
- 2019-03-22 WO PCT/CN2019/079331 patent/WO2019184832A1/zh unknown
- 2019-03-22 EP EP19775693.5A patent/EP3771242A4/en active Pending
-
2020
- 2020-09-24 US US17/031,534 patent/US11533610B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102369765A (zh) * | 2009-02-03 | 2012-03-07 | 华为技术有限公司 | 一种中继传输的方法、中继节点和基站 |
CN102802036A (zh) * | 2012-07-26 | 2012-11-28 | 深圳创维-Rgb电子有限公司 | 一种数字电视认证的***及方法 |
WO2014110908A1 (zh) * | 2013-01-15 | 2014-07-24 | 中兴通讯股份有限公司 | 数据安全传输方法及lte接入网*** |
CN107371155A (zh) * | 2016-05-13 | 2017-11-21 | 华为技术有限公司 | 通信安全的处理方法、装置及*** |
WO2018000936A1 (zh) * | 2016-07-01 | 2018-01-04 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
WO2018009340A1 (en) * | 2016-07-05 | 2018-01-11 | Intel Corporation | Systems, methods and devices for control-user plane separation for 5g radio access networks |
Non-Patent Citations (4)
Title |
---|
Huawei et al.."Security for CU-CP and CU-UP split".《3GPP TSG SA WG3 (Security) Meeting #90Bis S3-180659》.2018, * |
LG Electronics.Discussion on UP security key for CU-CP UP separation.《3GPP TSG SA WG3 (Security) Meeting.S3-180665》.2018,全文. * |
Samsung.Security Aspects for CU-UP.《3GPP TSG-RAN WG3 NR AdHoc 1801. R3-180260》.2018,第2节. * |
ZTE.Discussion on security key generation for E1 interface.《3GPP TSG RAN WG3 NR ADHOC.R3-180129》.2018,全文. * |
Also Published As
Publication number | Publication date |
---|---|
WO2019184832A1 (zh) | 2019-10-03 |
CN110365470A (zh) | 2019-10-22 |
EP3771242A4 (en) | 2021-05-05 |
US11533610B2 (en) | 2022-12-20 |
EP3771242A1 (en) | 2021-01-27 |
US20210058771A1 (en) | 2021-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110365470B (zh) | 一种密钥生成方法和相关装置 | |
KR102347524B1 (ko) | 보안 보호를 위한 방법, 장치 및 시스템 | |
CN109644339B (zh) | 连接模式期间5g中的安全性上下文处理的方法和装置 | |
JP4965655B2 (ja) | 無線通信システム用の鍵管理のためのシステムおよび方法 | |
US10091648B2 (en) | Method and apparatus for new key derivation upon handoff in wireless networks | |
WO2019019736A1 (zh) | 安全实现方法、相关装置以及*** | |
US11140545B2 (en) | Method, apparatus, and system for protecting data | |
KR102164823B1 (ko) | 통합 코어 망 서비스 이용방법과 이를 위한 통합 제어장치 및 그 시스템 | |
CN111818516B (zh) | 认证方法、装置及设备 | |
CN113225784B (zh) | 消息的识别方法和装置 | |
KR20200086721A (ko) | 보안 보호 방법 및 장치 | |
WO2021036704A1 (zh) | 终端设备和用户面网元之间的安全通信方法、装置及*** | |
CN117377011A (zh) | 第一网络装置及其方法和第二网络装置及其方法 | |
CN109936444B (zh) | 一种密钥生成方法及装置 | |
CN112019489A (zh) | 验证方法及装置 | |
CN114205814A (zh) | 一种数据传输方法、装置、***、电子设备及存储介质 | |
CN115708369A (zh) | 用于传输数据的方法和装置 | |
KR20100021690A (ko) | 이동 통신 시스템의 인증과 비계층 프로토콜 보안 운영을 효율적으로 지원하는 관리 방법 및 시스템 | |
WO2021238280A1 (zh) | 一种通信方法、装置及*** | |
EP4231708A1 (en) | Method for authenticating access layer on basis of public key infrastructure in consideration of handover in next-generation wireless communication system | |
US20200045536A1 (en) | Communication method, apparatus, and system | |
WO2023224915A1 (en) | Security for distributed non-access stratum protocol in a mobile system | |
WO2016019586A1 (zh) | 密钥流元素更新装置、方法及双连接*** | |
WO2022055402A1 (en) | Source and target network nodes and methods therein for preventing agents from illegitimately identifying the source network node when resuming a wireless terminal in a target network node in a wireless communications network | |
CN116074827A (zh) | 一种通信方法及通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |