一种密钥生成方法、装置、第一网络实体及基站设备与流程

文档序号:20583737发布日期:2020-04-29 01:39阅读:283来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种密钥生成方法、装置、第一网络实体及基站设备与流程

本发明涉及通信技术领域,特别是指一种密钥生成方法、装置、第一网络实体及基站设备。



背景技术:

1)无线接入网节点的cu-cp/up分离结构

如图1所示,在新空口(nr)及类似系统中,一个逻辑上的无线接入网节点(rannode)可以进一步划分为一个控制平面中心节点(centralunit-controlplane,即cu-cp),一个或多个用户平面中心节点(centralunit-userplane,即cu-up),以及一个或多个分布节点(distributedunit,即du),这种结构称作“cu-cp/up分离(cu-cp/upsplit)”,这些节点可以位于不同的物理实体之内。一个cu-cp可以连接多个cu-up。cu-cp与du之间以f1-c或类似接口连接,而cu-cp与cu-up之间以e1或类似接口连接。rannode与核心网的控制面连接止于cu-cp,用户面连接终止于cu-up,而rannode与移动终端的空口连接终止于du。

cu-cp/up分离的一种常见场景如图2所示:cu-cp实现为中心控制节点,而cu-up实现为数据服务节点,不同cu-up支持不同类型的数据流。例如:cu-up1支持低时延数据流,与du一并部署于基站附近的室外;而cu-up2支持高带宽数据流,部署于中心机房之内。

2)无线接入网次级密钥的生成方式

以nr/5g系统为例,当一个用户终端处于rrc连接状态时,无线接入网节点与用户终端内部均储存有一个相同的接入层根密钥kgnb。根据kgnb,无线接入网节点与用户终端进一步生成算法密钥,例如rrc信令完整性保护密钥krrcint,rrc信令加密密钥krrcenc,用户数据完整性保护密钥kupint,以及用户数据加密密钥kupenc。空口rrc信令或用户数据的发送方将使用这些算法密钥对所发送的数据进行安全保护,而接收方将使用相同的算法密钥对接收的数据进行安全保护。哪些信令或数据具体使用哪些密钥进行安全保护是由无线接入网节点所配置的。

当用户终端处于双连接状态时(即用户终端同时使用主接入网节点masternode(mn)与次要接入网节点secondarynode(sn)的物理资源),无线接入网节点还可以配置一个次要的接入层密钥ksn(这是目前暂定的名称,日后可能会变化),ksn是从kgnb与sn计数值(类似的,这也是目前暂定的名称,日后可能会变化)所导出的。无线接入网节点在配置ksn的过程中会向用户终端发送sn计数值,以指示用户终端生成相同的ksn。根据kgnb,无线接入网节点与用户终端进一步生成算法密钥。与单连接情况类似,哪些信令或数据具体使用哪些密钥进行安全保护是由无线接入网节点所配置的。

所有密钥均通过密钥导出函数(keyderivationfunction,kdf)导出,具体导出方式如图3所示:

图中“encalgid”指加密算法id,“intalgid”指完整性保护算法id。加密算法与完整性保护算法统称安全算法。在现有技术中,对于任何一个用户终端而言,建立于同一个gnb逻辑节点内的所有发送或接收的数据应当使用相同的安全算法,而建立于不同gnb逻辑节点内的发送或接收的数据可以使用不同的安全算法。由于所使用的安全算法相同,建立于同一个gnb逻辑节点内的所有用户数据所使用的安全密钥也是相同的。

在gnb-cu-cp/up分离结构中,用户数据的加密与完整性保护是在gnb-cu-up实体内进行的,因此gnb-cu-cp需要告知gnb-cu-up算法密钥。一个gnb-cu-cp可以连接多个gnb-cu-up实体。如果gnb-cu-cp为某一个用户终端同时配置了多个用户数据承载,而这些用户数据承载分别使用了多个gnb-cu-up实体的物理资源,这些gnb-cu-up实体将必然使用相同的安全密钥。由于这些gnb-cu-up实体可能在空间上散布在室外基站之中,使用相同的安全密钥存在着较大的安全隐患。

按照现有技术,如果一个用户终端连接至同一个gnb下辖的多个gnb-cu-up实体,那么这些gnb-cu-up实体将必然使用相同的安全密钥,存在一定的安全隐患。

也就是,在现有技术中,一个用户终端与gnb之间的所有用户数据承载均使用相同的算法密钥(包括加密密钥与完整性保护密钥),如果这些用户数据承载使用了不同的cu-up的物理资源,那么这些cu-up所使用的算法密钥也是相同的。这存在着一定的安全风险。



技术实现要素:

本发明的目的在于提供一种密钥生成方法、装置、第一网络实体及基站设备,解决现有技术中无线接入网用户数据算法密钥的配置方案导致密钥使用存在安全风险的问题。

为了解决上述技术问题,本发明实施例提供一种密钥生成方法,应用于第一网络实体,所述密钥生成方法包括:

所述第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文时,根据与所述第一承载上下文所对应的第一接入层密钥以及预设信息,生成与所述第二承载上下文对应的第二接入层密钥;

其中,所述第二接入层密钥与所述第一接入层密钥不同,第二网络实体与第三网络实体为不同的网络实体。

可选的,所述第一承载上下文位于所述第二网络实体中的第一分组数据汇聚协议pdcp实体中;

在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文,包括:

在所述第三网络实体中的第二pdcp实体中为所述终端建立第二承载上下文。

可选的,所述预设信息包括:计数值或者所述第一网络实体指定的数值;

其中,所述第一网络实体指定的数值与所述第一接入层密钥使用期间所指定过的数值不同。

可选的,在生成与所述第二承载上下文对应的第二接入层密钥之后,还包括:

根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,在根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥之后,还包括:

向所述第三网络实体发送第一接口消息;

其中,所述第一接口消息中携带有所述算法密钥。

可选的,所述第一接口消息中还携带有第一指示,所述第一指示用于指示所述第三网络实体在所包含的第二分组数据汇聚协议pdcp实体中配置所述第二承载上下文所对应的承载。

可选的,在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,还包括:

向所述终端发送无线资源控制rrc消息;

其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,rrc消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载。

可选的,rrc消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

可选的,若所述网络设备为双连接场景中的从节点,则在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,还包括:

向对应的主节点发送第三接口消息;

其中,所述第三接口消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载。

可选的,所述第三接口消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

本发明实施例还提供了一种密钥生成方法,应用于在双连接场景中为主节点的基站设备,包括:

接收在双连接场景中为从节点的网络设备发送的第三接口消息;其中,所述第三接口消息中携带有预设信息,以使终端生成第二接入层密钥,导出第二承载上下文所对应的承载所需使用的算法密钥;

根据所述第三接口消息,向所述终端发送无线资源控制rrc消息;

其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载;

rrc消息中还携带有所述第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载。

可选的,所述第三接口消息中还携带有第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥;

rrc消息中还携带有所述第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

本发明实施例还提供了一种第一网络实体,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述程序时实现以下步骤:

所述第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文时,根据与所述第一承载上下文所对应的第一接入层密钥以及预设信息,生成与所述第二承载上下文对应的第二接入层密钥;

其中,所述第二接入层密钥与所述第一接入层密钥不同,第二网络实体与第三网络实体为不同的网络实体。

可选的,所述第一承载上下文位于所述第二网络实体中的第一分组数据汇聚协议pdcp实体中;

在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文,包括:

在所述第三网络实体中的第二pdcp实体中为所述终端建立第二承载上下文。

可选的,所述预设信息包括:计数值或者所述第一网络实体指定的数值;

其中,所述第一网络实体指定的数值与所述第一接入层密钥使用期间所指定过的数值不同。

可选的,所述处理器还用于:

在生成与所述第二承载上下文对应的第二接入层密钥之后,根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,所述处理器还用于:

在根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥之后,向所述第三网络实体发送第一接口消息;

其中,所述第一接口消息中携带有所述算法密钥。

可选的,所述第一接口消息中还携带有第一指示,所述第一指示用于指示所述第三网络实体在所包含的第二分组数据汇聚协议pdcp实体中配置所述第二承载上下文所对应的承载。

可选的,所述处理器还用于:

在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,向所述终端发送无线资源控制rrc消息;

其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,rrc消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载。

可选的,rrc消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

可选的,若所述网络设备为双连接场景中的从节点,则所述处理器还用于:

在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,向对应的主节点发送第三接口消息;

其中,所述第三接口消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载。

可选的,所述第三接口消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

本发明实施例还提供了一种基站设备,所述基站设备在双连接场景中为主节点,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述程序时实现以下步骤:

接收在双连接场景中为从节点的网络设备发送的第三接口消息;其中,所述第三接口消息中携带有预设信息,以使终端生成第二接入层密钥,导出第二承载上下文所对应的承载所需使用的算法密钥;

根据所述第三接口消息,向所述终端发送无线资源控制rrc消息;

其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载;

rrc消息中还携带有所述第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载。

可选的,所述第三接口消息中还携带有第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥;

rrc消息中还携带有所述第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述的密钥生成方法的步骤。

本发明实施例还提供了一种密钥生成装置,应用于第一网络实体,所述密钥生成装置包括:

第一处理模块,用于所述第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文时,根据与所述第一承载上下文所对应的第一接入层密钥以及预设信息,生成与所述第二承载上下文对应的第二接入层密钥;

其中,所述第二接入层密钥与所述第一接入层密钥不同,第二网络实体与第三网络实体为不同的网络实体。

可选的,所述第一承载上下文位于所述第二网络实体中的第一分组数据汇聚协议pdcp实体中;

在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文,包括:

在所述第三网络实体中的第二pdcp实体中为所述终端建立第二承载上下文。

可选的,所述预设信息包括:计数值或者所述第一网络实体指定的数值;

其中,所述第一网络实体指定的数值与所述第一接入层密钥使用期间所指定过的数值不同。

可选的,还包括:

第二处理模块,用于在生成与所述第二承载上下文对应的第二接入层密钥之后,根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,还包括:

第一发送模块,用于在根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥之后,向所述第三网络实体发送第一接口消息;

其中,所述第一接口消息中携带有所述算法密钥。

可选的,所述第一接口消息中还携带有第一指示,所述第一指示用于指示所述第三网络实体在所包含的第二分组数据汇聚协议pdcp实体中配置所述第二承载上下文所对应的承载。

可选的,还包括:

第二发送模块,用于在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,向所述终端发送无线资源控制rrc消息;

其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,rrc消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载。

可选的,rrc消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

可选的,若所述网络设备为双连接场景中的从节点,则还包括:

第三发送模块,用于在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,向对应的主节点发送第三接口消息;

其中,所述第三接口消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载。

可选的,所述第三接口消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

本发明实施例还提供了一种密钥生成装置,应用于在双连接场景中为主节点的基站设备,包括:

第一接收模块,用于接收在双连接场景中为从节点的网络设备发送的第三接口消息;其中,所述第三接口消息中携带有预设信息,以使终端生成第二接入层密钥,导出第二承载上下文所对应的承载所需使用的算法密钥;

第四发送模块,用于根据所述第三接口消息,向所述终端发送无线资源控制rrc消息;

其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

可选的,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载;

rrc消息中还携带有所述第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载。

可选的,所述第三接口消息中还携带有第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥;

rrc消息中还携带有所述第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

本发明的上述技术方案的有益效果如下:

上述方案中,所述密钥生成方法通过所述第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文时,根据与所述第一承载上下文所对应的第一接入层密钥以及预设信息,生成与所述第二承载上下文对应的第二接入层密钥;其中,所述第二接入层密钥与所述第一接入层密钥不同,第二网络实体与第三网络实体为不同的网络实体;可以保证在cu-cp/up分离场景中,不同的cu-up所使用的安全密钥是不同的,实现了不同接入层实体之间的密钥隔离,降低了安全风险,很好的解决了现有技术中无线接入网用户数据算法密钥的配置方案导致密钥使用存在安全风险的问题。

附图说明

图1为现有技术中新空口系统架构示意图;

图2为现有技术中无线接入网节点的cu-cp/up分离结构示意图;

图3为现有技术中密钥导出方式示意图;

图4为本发明实施例的密钥生成方法流程示意图一;

图5为本发明实施例的密钥生成方法流程示意图二;

图6为本发明实施例的密钥生成方法实现流程示意图;

图7为本发明实施例的密钥生成方法具体实现流程示意图一;

图8为本发明实施例的密钥生成方法具体实现流程示意图二;

图9为本发明实施例的密钥生成方法具体实现流程示意图三;

图10为本发明实施例的密钥生成方法具体实现流程示意图四;

图11为本发明实施例的第一网络实体结构示意图;

图12为本发明实施例的基站设备结构示意图;

图13为本发明实施例的密钥生成装置结构示意图一;

图14为本发明实施例的密钥生成装置结构示意图二。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。

本发明针对现有的技术中无线接入网用户数据算法密钥的配置方案导致密钥使用存在安全风险的问题,提供一种密钥生成方法,应用于第一网络实体,如图4所示,所述密钥生成方法包括:

步骤41:所述第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文时,根据与所述第一承载上下文所对应的第一接入层密钥以及预设信息,生成与所述第二承载上下文对应的第二接入层密钥;

其中,所述第二接入层密钥与所述第一接入层密钥不同,第二网络实体与第三网络实体为不同的网络实体。

第一网络实体可为cu-cp,第二网络实体和第三网络实体可为cu-up,但并不以此为限。

网络设备可为单连接场景或双连接场景中的基站,在此不作限定。

本发明实施例提供的所述密钥生成方法通过所述第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文时,根据与所述第一承载上下文所对应的第一接入层密钥以及预设信息,生成与所述第二承载上下文对应的第二接入层密钥;其中,所述第二接入层密钥与所述第一接入层密钥不同,第二网络实体与第三网络实体为不同的网络实体;可以保证在cu-cp/up分离场景中,不同的cu-up所使用的安全密钥是不同的,实现了不同接入层实体之间的密钥隔离,降低了安全风险,很好的解决了现有技术中无线接入网用户数据算法密钥的配置方案导致密钥使用存在安全风险的问题。

具体的,所述第一承载上下文位于所述第二网络实体中的第一分组数据汇聚协议pdcp实体中;对应的,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文,包括:在所述第三网络实体中的第二pdcp实体中为所述终端建立第二承载上下文。

本发明实施例中,所述预设信息包括:计数值或者所述第一网络实体指定的数值;其中,所述第一网络实体指定的数值与所述第一接入层密钥使用期间所指定过的数值不同。

进一步的,在生成与所述第二承载上下文对应的第二接入层密钥之后,还包括:根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥。

更进一步的,在根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥之后,还包括:向所述第三网络实体发送第一接口消息(可以是“承载上下文建立请求消息”,也可以是“承载上下文修改请求消息”或者类似的消息);其中,所述第一接口消息中携带有所述算法密钥。

其中,所述第一接口消息中还携带有第一指示,所述第一指示用于指示所述第三网络实体在所包含的第二分组数据汇聚协议pdcp实体中配置所述第二承载上下文所对应的承载,以及使用所述算法密钥对所述承载进行安全保护。

进一步的,在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,还包括:向所述终端发送无线资源控制rrc消息(可以是“rrc重配消息”,但并不以此为限);其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

其中,rrc消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载,以及使用所述算法密钥对所述承载进行安全保护;和/或

rrc消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

进一步的,若所述网络设备为双连接场景中的从节点,则在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,还包括:向对应的主节点发送第三接口消息(可以是“从节点修改请求应答消息”,也可以是“从节点添加请求消息”或者类似的消息);其中,所述第三接口消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

其中,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载,以及使用所述算法密钥对所述承载进行安全保护;和/或

所述第三接口消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

本发明实施例还提供了一种密钥生成方法,应用于在双连接场景中为主节点的基站设备,如图5所示,包括:

步骤51:接收在双连接场景中为从节点的网络设备发送的第三接口消息;其中,所述第三接口消息中携带有预设信息,以使终端生成第二接入层密钥,导出第二承载上下文所对应的承载所需使用的算法密钥;

步骤52:根据所述第三接口消息,向所述终端发送无线资源控制rrc消息;

其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

基站设备可为双连接场景中的基站,但并不以此为限。

本发明实施例提供的所述密钥生成方法通过接收在双连接场景中为从节点的网络设备发送的第三接口消息;其中,所述第三接口消息中携带有预设信息,以使终端生成第二接入层密钥,导出第二承载上下文所对应的承载所需使用的算法密钥;根据所述第三接口消息,向所述终端发送无线资源控制rrc消息;其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥;可以保证在cu-cp/up分离场景中,不同的cu-up所使用的安全密钥是不同的,实现了不同接入层实体之间的密钥隔离,降低了安全风险,很好的解决了现有技术中无线接入网用户数据算法密钥的配置方案导致密钥使用存在安全风险的问题。

其中,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载,以及使用所述算法密钥对所述承载进行安全保护;rrc消息中还携带有所述第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载,以及使用所述算法密钥对所述承载进行安全保护;和/或

所述第三接口消息中还携带有第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥;rrc消息中还携带有所述第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

下面结合网络设备和基站设备等多侧对本发明实施例提供的所述密钥生成方法进行进一步说明;

其中,网络设备和基站设备均以基站为例,第一网络实体以控制平面中心节点cu-cp为例,第二网络实体和第三网络实体均以用户平面中心节点cu-up为例,第一接口消息以承载上下文建立请求消息为例,第二接口消息以承载上下文建立响应消息为例,第三接口消息以从节点sn修改请求应答ack消息为例,rrc消息以rrc重配消息为例。

针对上述技术问题,本发明实施例提供一种密钥生成方法(也可理解为一种用户数据算法密钥的配置方法),可以保证不同的cu-up所使用的安全密钥是不同的;方案可具体为:

在基站gnb(网络设备)内部的一个cu-up之中已经存在了某个用户终端的承载上下文的情况下,当cu-cp需要在同一个gnb内部的另一个cu-up之中为该用户终端建立承载上下文之时,首先生成一个新的接入层密钥,该接入层密钥类似于双连接场景中所使用的ksn。在此之后,cu-cp从这个新的接入层密钥导出cu-up所需使用的算法密钥,例如kupenc与kupint。cu-cp从这个新的接入层密钥导出算法密钥的方式类似于双连接场景中从ksn导出次要节点所使用的算法密钥的方法。

如图6所示,包括:

步骤61:cu-cp需要建立新的承载,并决定将这个新的承载建立在一个新的cu-up节点之中,所述新的cu-up节点不同于当前正在使用的cu-up节点(决定为用户终端配置新的cu-up节点)。

步骤62:cu-cp生成一个新的接入层密钥,这里为了方便称之ks。

步骤63:cu-cp根据ks导出这个新的承载所需使用的算法密钥kupenc与kupint。

步骤64:cu-cp向cu-up发送一条承载上下文建立请求消息,其中携带上述算法密钥kupenc与kupint。

步骤65:cu-up建立承载上下文,并向cu-cp反馈一条承载上下文建立响应消息。

步骤66:cu-cp指示分布节点du为新的承载分配无线链路资源(指示du建立承载)。

步骤67:cu-cp向用户终端发送一条rrc重配消息,指示其配置新的承载。

步骤68:用户终端配置新的承载,并反馈一条rrc重配完成消息。

下面对本发明实施例提供的方案进行举例说明。

举例一:单连接场景(网络设备为gnb),使用一个计数值生成新的接入层密钥。

如图7所示,本方案可具体包括:

步骤71:gnb-cu-cp需要建立新的承载,并决定将这个新的承载建立在一个新的gnb-cu-up节点之中,所述新的gnb-cu-up节点不同于当前正在使用的gnb-cu-up节点(决定为用户终端配置新的gnb-cu-up节点)。

步骤72:gnb-cu-cp根据其当前的接入层根密钥kgnb与一个计数值生成一个新的接入层密钥,在此称之ks。gnb-cu-cp储存ks,并自增该计数值。

步骤73:gnb-cu-cp根据ks导出这个新的承载所需使用的算法密钥kupenc与kupint。

步骤74:gnb-cu-cp向gnb-cu-up发送一条承载上下文建立请求消息,其中携带上述算法密钥kupenc与kupint。

步骤75:gnb-cu-up建立承载上下文,并向gnb-cu-cp反馈一条承载上下文建立响应消息。

步骤76:gnb-cu-cp指示gnb-du为新的承载分配无线链路资源(指示gnb-du建立承载)。

步骤77:gnb-cu-cp向用户终端发送一条rrc重配消息,以指示其配置新的承载。这条消息中携带有步骤72所使用的(自增之前的)计数值。

步骤78:用户终端根据当前的接入层根密钥与rrc重配消息中所携带的计数值生成ks,储存ks,进一步导出新的算法密钥kupenc与kupint,配置新的承载,并反馈一条rrc重配完成消息。

举例二:单连接场景(网络设备为gnb),使用一个指定数值生成新的接入层密钥。

如图8所示,本方案可具体包括:

步骤81:gnb-cu-cp需要建立新的承载,并决定将这个新的承载建立在一个新的gnb-cu-up节点之中,所述新的gnb-cu-up节点不同于当前正在使用的gnb-cu-up节点(决定为用户终端配置新的gnb-cu-up节点)。

步骤82:gnb-cu-cp指定一个数值,在此称之skid,然后根据其当前的接入层根密钥kgnb与skid生成一个新的接入层密钥,在此称之ks。gnb-cu-cp储存ks。gnb-cu-cp所指定的skid不得与当前kgnb使用期间所指定过的其他skid相同。

步骤83:gnb-cu-cp根据ks导出这个新的承载所需使用的算法密钥kupenc与kupint。

步骤84:gnb-cu-cp向gnb-cu-up发送一条承载上下文建立请求消息,其中携带上述算法密钥kupenc与kupint。

步骤85:gnb-cu-up建立承载上下文,并向gnb-cu-cp反馈一条承载上下文建立响应消息。

步骤86:gnb-cu-cp指示gnb-du为新的承载分配无线链路资源(指示gnb-du建立承载)。

步骤87:gnb-cu-cp向用户终端发送一条rrc重配消息,以指示其配置新的承载。这条消息中携带skid。

步骤88:用户终端根据当前的接入层根密钥kgnb与rrc重配消息中所携带的skid生成ks,储存ks,进一步导出新的算法密钥kupenc与kupint,配置新的承载,并反馈一条rrc重配完成消息。

举例三:双连接场景(网络设备为主基站mgnb-主节点),主节点使用一个指定数值生成新的接入层密钥。

如图9所示,本方案可具体包括:

步骤91:mgnb-cu-cp需要建立新的承载,并决定将这个新的承载建立在一个新的mgnb-cu-up节点之中,所述新的mgnb-cu-up节点不同于当前正在使用的mgnb-cu-up节点(决定为用户终端配置新的mgnb-cu-up节点)。

步骤92:mgnb-cu-cp指定一个数值,在此称之skid,然后根据其当前的接入层根密钥kgnb与skid导出一个新的接入层密钥,在此称之ks。mgnb-cu-cp储存ks。mgnb-cu-cp所指定的skid不得与当前kgnb使用期间所指定过的其他skid相同。

步骤93:mgnb-cu-cp根据ks导出这个新的承载所需使用的算法密钥kupenc与kupint。

步骤94:mgnb-cu-cp向mgnb-cu-up发送一条承载上下文建立请求消息,其中携带上述算法密钥kupenc与kupint。

步骤95:mgnb-cu-up建立承载上下文,并向mgnb-cu-cp反馈一条承载上下文建立响应消息。

步骤96:mgnb-cu-cp指示mgnb-du为新的承载分配无线链路资源(指示mgnb-du建立承载)。

步骤97:mgnb-cu-cp向用户终端发送一条rrc重配消息,以指示其配置新的承载。这条消息中携带有一个指示与skid,这个指示是用来告知ueks是从kgnb导出的。

步骤98:用户终端根据当前的接入层根密钥kgnb与rrc重配消息中所携带的skid生成ks,储存ks,进一步导出新的算法密钥kupenc与kupint,配置新的承载,并反馈一条rrc重配完成消息。

举例四:双连接场景(网络设备为主基站mgnb(mn)-主节点,基站设备为从基站sgnb-次要节点),次要节点使用一个指定数值生成新的接入层密钥。

如图10所示,本方案可具体包括:

步骤101:主节点向次要节点发送sn修改请求消息,指示其建立新的数据承载(指示建立新的用户数据流)。

步骤102:sgnb-cu-cp需要建立新的承载,并决定将这个新的承载建立在一个新的sgnb-cu-up节点之中,所述新的sgnb-cu-up节点不同于当前正在使用的sgnb-cu-up节点(决定为用户终端配置新的sgnb-cu-up节点)。

步骤103:sgnb-cu-cp指定一个数值,在此称之skid,然后根据其当前的次要节点密钥(在此称之ksn)与skid导出一个新的接入层密钥,在此称之ks。sgnb-cu-cp储存ks。sgnb-cu-cp所指定的skid不得与当前ksn使用期间所指定过的其他skid相同。

步骤104:sgnb-cu-cp根据ks导出这个新的承载所需使用的算法密钥kupenc与kupint。

步骤105:sgnb-cu-cp向sgnb-cu-up发送一条承载上下文建立请求消息,其中携带上述算法密钥kupenc与kupint。

步骤106:sgnb-cu-up建立承载上下文,并向sgnb-cu-cp反馈一条承载上下文建立响应消息。

步骤107:sgnb-cu-cp指示sgnb-du为新的承载分配无线链路资源(指示sgnb-du建立承载)。

步骤108:sgnb-cu-cp向主节点发送一条sn修改请求ack消息,其中包括一个指示与skid,这个指示是用来告知ueks是从ksn导出的。

步骤109:主节点向用户终端发送一条rrc重配消息,以指示其配置新的承载。这条消息中携带有一个指示与skid,这个指示是用来告知ueks是从ksn导出的。

步骤1010:用户终端根据当前的次要节点密钥ksn与rrc重配消息中所携带的skid生成ks,储存ks,进一步导出新的算法密钥kupenc与kupint,配置新的承载,并反馈一条rrc重配完成消息。

步骤1011:主节点向次要节点发送一条sn重配完成消息。

由上可知,本发明实施例提供的方案主要是当cu-cp决定添加一个新的cu-up时,首先生成一个新的接入层密钥,然后再由该密钥导出新的算法密钥并告知cu-up。其更可以具体为:

1)一种方法,应用于第一网络实体(cu-cp/无线接入网节点)的rrc模块,在第二网络实体(cu-up)的第一pdcp实体之中已经存在了一个用户终端的承载上下文的情况下,当它决定在第三网络实体(cu-up)的第二pdcp实体之中为所述用户终端配置无线承载时,首先生成一个新的接入层密钥,然后根据所述新的接入层密钥导出新的算法密钥。

2)在1)的条件下,所述rrc模块储存所述新的接入层密钥。

3)在1)的条件下,所述生成一个新的接入层密钥是指,根据一个现有的接入层密钥与一个计数值导出新的接入层密钥,或者,根据一个现有的接入层密钥与一个指定的数值导出新的接入层密钥,所述指定的数值是由所述rrc模块所指定的。

4)在1)的条件下,所述rrc模块所在的节点(第一网络实体)向所述第二pdcp实体所在的节点(第三网络实体)发送一条接口信令,其中包含所述新的算法密钥以及一个指示,以指示所述第二pdcp实体所在的节点(第三网络实体)配置所述无线承载,并使用所述新的算法密钥针对所述承载进行安全保护。所述安全保护包括加密或者完整性保护。

5)在1)的条件下,所述rrc模块所在的节点(第一网络实体)向所述用户终端发送一条rrc信令,其中包括生成所述新的接入层密钥所需要的信息以及一个指示,以指示所述用户终端配置所述无线承载,并使用所述新的算法密钥针对所述承载进行安全保护。所述安全保护包括加密或者完整性保护。

6)在3)与5)的条件下,所述生成所述新的接入层密钥所需要的信息包含所述计数值或所述指定的数值。可选地,其中还包括一个指示,以指示所述现有的接入层密钥。

综上所述,本发明实施例提供的方案,使得在cu-cp/up分离场景中,不同的cu-up实体可以使用不同的算法密钥,实现了不同接入层实体之间的密钥隔离,降低了安全风险。

本发明实施例还提供了一种第一网络实体,包括存储器、处理器、收发机及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述程序时实现以下步骤:

所述第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文时,根据与所述第一承载上下文所对应的第一接入层密钥以及预设信息,生成与所述第二承载上下文对应的第二接入层密钥;

其中,所述第二接入层密钥与所述第一接入层密钥不同,第二网络实体与第三网络实体为不同的网络实体。

本发明实施例提供的所述第一网络实体通过所述第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文时,根据与所述第一承载上下文所对应的第一接入层密钥以及预设信息,生成与所述第二承载上下文对应的第二接入层密钥;其中,所述第二接入层密钥与所述第一接入层密钥不同,第二网络实体与第三网络实体为不同的网络实体;可以保证在cu-cp/up分离场景中,不同的cu-up所使用的安全密钥是不同的,实现了不同接入层实体之间的密钥隔离,降低了安全风险,很好的解决了现有技术中无线接入网用户数据算法密钥的配置方案导致密钥使用存在安全风险的问题。

具体可如图11所示,本发明实施例的第一网络实体,包括:

处理器111;以及通过总线接口112与所述处理器111相连接的存储器113,所述存储器113用于存储所述处理器111在执行操作时所使用的程序和数据,当处理器111调用并执行所述存储器113中所存储的程序和数据时,执行下列过程:

所述第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文时,根据与所述第一承载上下文所对应的第一接入层密钥以及预设信息,生成与所述第二承载上下文对应的第二接入层密钥;

其中,所述第二接入层密钥与所述第一接入层密钥不同,第二网络实体与第三网络实体为不同的网络实体。

本发明实施例中第一网络实体还可包括收发机114,但并不以此为限。

其中,收发机114与总线接口112连接,用于在处理器111的控制下接收和发送数据。

需要说明的是,在图11中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器111代表的一个或多个处理器和存储器113代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机114可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器111负责管理总线架构和通常的处理,存储器113可以存储处理器111在执行操作时所使用的数据。

本领域技术人员可以理解,实现上述实施例的全部或者部分步骤可以通过硬件来完成,也可以通过计算机程序来指示相关的硬件来完成,所述计算机程序包括执行上述方法的部分或者全部步骤的指令;且该计算机程序可以存储于一可读存储介质中,存储介质可以是任何形式的存储介质。

具体的,所述第一承载上下文位于所述第二网络实体中的第一分组数据汇聚协议pdcp实体中;对应的,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文,包括:在所述第三网络实体中的第二pdcp实体中为所述终端建立第二承载上下文。

本发明实施例中,所述预设信息包括:计数值或者所述第一网络实体指定的数值;其中,所述第一网络实体指定的数值与所述第一接入层密钥使用期间所指定过的数值不同。

进一步的,所述处理器还用于:在生成与所述第二承载上下文对应的第二接入层密钥之后,根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥。

更进一步的,所述处理器还用于:在根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥之后,利用所述收发机向所述第三网络实体发送第一接口消息;其中,所述第一接口消息中携带有所述算法密钥。

其中,所述第一接口消息中还携带有第一指示,所述第一指示用于指示所述第三网络实体在所包含的第二分组数据汇聚协议pdcp实体中配置所述第二承载上下文所对应的承载。

进一步的,所述处理器还用于:在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,利用所述收发机向所述终端发送无线资源控制rrc消息;其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

其中,rrc消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载;和/或

rrc消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

进一步的,若所述网络设备为双连接场景中的从节点,则所述处理器还用于:在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,利用所述收发机向对应的主节点发送第三接口消息;其中,所述第三接口消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

其中,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载;和/或

所述第三接口消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

其中,上述第一网络实体侧的密钥生成方法的所述实现实施例均适用于该第一网络实体的实施例中,也能达到相同的技术效果。

本发明实施例还提供了一种基站设备,所述基站设备在双连接场景中为主节点,包括存储器、处理器、收发机及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述程序时实现以下步骤:

利用所述收发机接收在双连接场景中为从节点的网络设备发送的第三接口消息;其中,所述第三接口消息中携带有预设信息,以使终端生成第二接入层密钥,导出第二承载上下文所对应的承载所需使用的算法密钥;

根据所述第三接口消息,向所述终端发送无线资源控制rrc消息;

其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

本发明实施例提供的所述基站设备通过利用所述收发机接收在双连接场景中为从节点的网络设备发送的第三接口消息;其中,所述第三接口消息中携带有预设信息,以使终端生成第二接入层密钥,导出第二承载上下文所对应的承载所需使用的算法密钥;根据所述第三接口消息,向所述终端发送无线资源控制rrc消息;其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥;可以保证在cu-cp/up分离场景中,不同的cu-up所使用的安全密钥是不同的,实现了不同接入层实体之间的密钥隔离,降低了安全风险,很好的解决了现有技术中无线接入网用户数据算法密钥的配置方案导致密钥使用存在安全风险的问题。

具体可如图12所示,本发明实施例的基站设备,包括:

处理器121;以及通过总线接口122与所述处理器121相连接的存储器123,所述存储器123用于存储所述处理器121在执行操作时所使用的程序和数据,当处理器121调用并执行所述存储器123中所存储的程序和数据时,执行下列过程:

利用所述收发机124接收在双连接场景中为从节点的网络设备发送的第三接口消息;其中,所述第三接口消息中携带有预设信息,以使终端生成第二接入层密钥,导出第二承载上下文所对应的承载所需使用的算法密钥;

根据所述第三接口消息,向所述终端发送无线资源控制rrc消息;

其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

其中,收发机124与总线接口122连接,用于在处理器121的控制下接收和发送数据。

需要说明的是,在图12中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器121代表的一个或多个处理器和存储器123代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机124可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器121负责管理总线架构和通常的处理,存储器123可以存储处理器121在执行操作时所使用的数据。

本领域技术人员可以理解,实现上述实施例的全部或者部分步骤可以通过硬件来完成,也可以通过计算机程序来指示相关的硬件来完成,所述计算机程序包括执行上述方法的部分或者全部步骤的指令;且该计算机程序可以存储于一可读存储介质中,存储介质可以是任何形式的存储介质。

其中,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载;rrc消息中还携带有所述第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载;和/或

所述第三接口消息中还携带有第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥;rrc消息中还携带有所述第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

其中,上述基站设备侧的密钥生成方法的所述实现实施例均适用于该基站设备的实施例中,也能达到相同的技术效果。

本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一网络实体侧的密钥生成方法的步骤;或者

该程序被处理器执行时实现上述基站设备侧的密钥生成方法的步骤。

其中,上述第一网络实体侧或基站设备侧的密钥生成方法的所述实现实施例均适用于该计算机可读存储介质的实施例中,也能达到对应相同的技术效果。

本发明实施例还提供了一种密钥生成装置,应用于第一网络实体,如图13所示,所述密钥生成装置包括:

第一处理模块131,用于所述第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文时,根据与所述第一承载上下文所对应的第一接入层密钥以及预设信息,生成与所述第二承载上下文对应的第二接入层密钥;

其中,所述第二接入层密钥与所述第一接入层密钥不同,第二网络实体与第三网络实体为不同的网络实体。

本发明实施例提供的所述密钥生成装置通过所述第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文时,根据与所述第一承载上下文所对应的第一接入层密钥以及预设信息,生成与所述第二承载上下文对应的第二接入层密钥;其中,所述第二接入层密钥与所述第一接入层密钥不同,第二网络实体与第三网络实体为不同的网络实体;可以保证在cu-cp/up分离场景中,不同的cu-up所使用的安全密钥是不同的,实现了不同接入层实体之间的密钥隔离,降低了安全风险,很好的解决了现有技术中无线接入网用户数据算法密钥的配置方案导致密钥使用存在安全风险的问题。

具体的,所述第一承载上下文位于所述第二网络实体中的第一分组数据汇聚协议pdcp实体中;对应的,在所述网络设备中的第三网络实体中为所述终端建立第二承载上下文,包括:在所述第三网络实体中的第二pdcp实体中为所述终端建立第二承载上下文。

本发明实施例中,所述预设信息包括:计数值或者所述第一网络实体指定的数值;其中,所述第一网络实体指定的数值与所述第一接入层密钥使用期间所指定过的数值不同。

进一步的,所述密钥生成装置还包括:第二处理模块,用于在生成与所述第二承载上下文对应的第二接入层密钥之后,根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥。

更进一步的,所述密钥生成装置还包括:第一发送模块,用于在根据所述第二接入层密钥,生成所述第二承载上下文所对应的承载所需使用的算法密钥之后,向所述第三网络实体发送第一接口消息;其中,所述第一接口消息中携带有所述算法密钥。

其中,所述第一接口消息中还携带有第一指示,所述第一指示用于指示所述第三网络实体在所包含的第二分组数据汇聚协议pdcp实体中配置所述第二承载上下文所对应的承载。

进一步的,所述密钥生成装置还包括:第二发送模块,用于在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,向所述终端发送无线资源控制rrc消息;其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

其中,rrc消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载;和/或

rrc消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

进一步的,若所述网络设备为双连接场景中的从节点,则还包括:第三发送模块,用于在接收到所述第三网络实体根据所述第一接口消息反馈的第二接口消息后,向对应的主节点发送第三接口消息;其中,所述第三接口消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

其中,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载;和/或

所述第三接口消息中还携带有第三指示,所述第三指示用于指示所述第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

其中,上述第一网络实体侧的密钥生成方法的所述实现实施例均适用于该密钥生成装置的实施例中,也能达到相同的技术效果。

本发明实施例还提供了一种密钥生成装置,应用于在双连接场景中为主节点的基站设备,如图14所示,包括:

第一接收模块141,用于接收在双连接场景中为从节点的网络设备发送的第三接口消息;其中,所述第三接口消息中携带有预设信息,以使终端生成第二接入层密钥,导出第二承载上下文所对应的承载所需使用的算法密钥;

第四发送模块142,用于根据所述第三接口消息,向所述终端发送无线资源控制rrc消息;

其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥。

本发明实施例提供的所述密钥生成装置通过接收在双连接场景中为从节点的网络设备发送的第三接口消息;其中,所述第三接口消息中携带有预设信息,以使终端生成第二接入层密钥,导出第二承载上下文所对应的承载所需使用的算法密钥;根据所述第三接口消息,向所述终端发送无线资源控制rrc消息;其中,rrc消息中携带有所述预设信息,以使所述终端生成所述第二接入层密钥,导出所述第二承载上下文所对应的承载所需使用的算法密钥;可以保证在cu-cp/up分离场景中,不同的cu-up所使用的安全密钥是不同的,实现了不同接入层实体之间的密钥隔离,降低了安全风险,很好的解决了现有技术中无线接入网用户数据算法密钥的配置方案导致密钥使用存在安全风险的问题。

其中,所述第三接口消息中还携带有第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载;rrc消息中还携带有所述第二指示,所述第二指示用于指示所述终端配置所述第二承载上下文所对应的承载;和/或

所述第三接口消息中还携带有第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥;rrc消息中还携带有所述第三指示,所述第三指示用于指示第一接入层密钥的身份标志,通知所述终端由所述第一接入层密钥导出所述第二接入层密钥。

其中,上述基站设备侧的密钥生成方法的所述实现实施例均适用于该密钥生成装置的实施例中,也能达到相同的技术效果。

需要说明的是,此说明书中所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。

本发明实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同位里上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。

实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。

在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(vlsi)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。

以上所述的是本发明的优选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本发明所述原理前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:周叶;刘爱娟;张大钧
  • 技术所有人:电信科学技术研究院有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2