專利名稱:基站間載波聚合的安全通訊方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域���,尤其涉及基站間載波聚合的安全通訊方法及設(shè)備。
背景技術(shù):
隨著移動通信系統(tǒng)的不斷發(fā)展和進步���,移動通信系統(tǒng)提供的服務(wù)質(zhì)量越來越高��。為保持3GPP(The 3rd Generation Partnership Project,第三代合作伙伴項目)的長期競爭優(yōu)勢�,LTE-A (Long Term Evolution-Advanced,長期演進后續(xù)演進)的標準制定工作正在進行�����。為了進一步的提高通信系統(tǒng)的頻譜效率和用戶吞吐量����,載波聚合(CarrierAggregation, CA)技術(shù)被引入到LTE-A中����。載波聚合技術(shù)中用戶設(shè)備(User Equipment,UE)可以同時使用多個成員載波(Component Carrier,CC)(每個成員載波分別對應(yīng)一個小區(qū))進行上下行通信�����,從而支持高速數(shù)據(jù)傳輸�。這些聚合的小區(qū)中,其中一個小區(qū)為主小區(qū)���,其他小區(qū)為輔小區(qū)����。LTE系統(tǒng)的載波聚合大致可以分為基站內(nèi)部小區(qū)聚合�,基站間小區(qū)聚合等����。基站內(nèi)部的小區(qū)聚合是指UE聚合的服務(wù)小區(qū)都屬于同一基站����。為了保護空口的傳輸安全���,數(shù)據(jù)和信令需要進行加密,密鑰不在空口傳遞����,而是UE和基站分別進行衍生。對于基站內(nèi)部的小區(qū)聚合�����,無論在哪個小區(qū)上傳輸數(shù)據(jù)���,均使用同一個密鑰�。每次發(fā)生切換時密鑰都需要進行衍生��,密鑰衍生所用的NCC (Next Hop Chaining Counter,下一跳計數(shù)器)的取值由MME(Mobility Management Entity,移動管理實體)來確定,并發(fā)送至用戶設(shè)備UE以便用戶設(shè)備根據(jù)NCC的取值來確定密鑰衍生的具體方式�。隨著通信技術(shù)的不斷發(fā)展,基站間的載波聚合也是將來考慮的方向��,其安全問題也是業(yè)內(nèi)關(guān)注的一個方面�。
發(fā)明內(nèi)容
本發(fā)明提供了一種基站間載波聚合的安全通訊方法,在采用基站間載波聚合的通信中����,有效地保護空口的數(shù)據(jù)傳輸安全����,防止空口安全攻擊���。根據(jù)本發(fā)明的第一方面���,提供了一種基站間載波聚合的安全通訊的方法,包括:用戶設(shè)備接收主基站發(fā)送的第一消息����,所述第一消息用于指示所述用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū);和所述用戶設(shè)備根據(jù)所述主基站的安全上下文和所述第一消息生成所述輔基站的密鑰�����,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信�。根據(jù)本發(fā)明的第二方面,提供了一種基站間載波聚合的安全通訊方法���,包括:主基站確定為用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū);所述主基站根據(jù)所述主基站的安全上下文和所述服務(wù)小區(qū)的標識信息生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰����;和所述主基站向所述輔基站發(fā)送所述至少一個密鑰���,用以所述輔基站根據(jù)所述至少一個密鑰確定輔基站的密鑰;其中��,所述輔基站的密鑰用于所述輔基站與所述用戶設(shè)備進行通信�。
根據(jù)本發(fā)明的第三方面,提供了一種基站間載波聚合的安全通訊方法�����,包括:輔基站接收主基站發(fā)送的指示消息�,其中,所述指示消息用于指示增加所述輔基站控制的至少一個小區(qū)為用戶設(shè)備的服務(wù)小區(qū)�����,且所述指示消息具有對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰��;所述輔基站根據(jù)所述至少一個密鑰確定所述輔基站的密鑰���,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信�。根據(jù)本發(fā)明的第四方面�,提供了一種用戶設(shè)備,包括:接收單元����,用于接收主基站發(fā)送的第一消息��,所述第一消息用于指示所述用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)�;處理單元���,用于根據(jù)所述主基站的安全上下文和所述第一消息生成所述輔基站的密鑰����,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信���。根據(jù)本發(fā)明的第五方面�����,提供了一種基站�,包括:確定單元�����,用于確定為用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)���;處理單元����,用于根據(jù)所述主基站的安全上下文和所述服務(wù)小區(qū)的標識信息生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰��;發(fā)送單元����,用于向所述輔基站發(fā)送所述至少一個密鑰,用以所述輔基站根據(jù)所述至少一個密鑰確定輔基站的密鑰����;其中,所述輔基站的密鑰用于所述輔基站與所述用戶設(shè)備進行通信����。根據(jù)本發(fā)明的第六方面,提供了一種基站�,包括:接收單元,用于接收主基站發(fā)送的指示消息��,其中��,所述指示消息用于指示增加所述輔基站控制的至少一個小區(qū)為用戶設(shè)備的服務(wù)小區(qū)�����,且所述指示消息具有對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰;處理單元�,用于根據(jù)所述至少一個密鑰確定所述輔基站的密鑰,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信��。實施本發(fā)明實施例���,具有如下有益效果:在基站間的載波聚合的通信中�,可以有效地保護空口的數(shù)據(jù)傳輸安全����,防止空口安全攻擊。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實施例����,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖�����。圖1圖示了根據(jù)本發(fā)明實施方式的基站間載波聚合的安全通訊方法的第一示意圖����。圖2圖示了根據(jù)本發(fā)明實施方式的密鑰衍生算法的第一示意圖��。圖3圖示了根據(jù)本發(fā)明實施方式的密鑰衍生算法的第二示意圖���。圖4圖示了根據(jù)本發(fā)明實施方式的基站間載波聚合的安全通訊方法的第二示意圖�。圖5圖示了根據(jù)本發(fā)明實施方式的基站間載波聚合的安全通訊方法的第三示意圖���。圖6圖示了根據(jù)本發(fā)明實施方式的用戶設(shè)備的結(jié)構(gòu)示意圖�����。圖7圖示了根據(jù)本發(fā)明實施方式的基站的第一結(jié)構(gòu)示意圖��。圖8圖示了根據(jù)本發(fā)明實施方式的基站的第二結(jié)構(gòu)示意圖�����。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術(shù)方案進行清楚�、完整地描述�����,顯然���,所描述的實施例僅僅是本發(fā)明一部分實施例�,而不是全部的實施例��?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍���。參見圖1�,圖示了根據(jù)本發(fā)明實施方式的基站間載波聚合的安全通信方法的第一示意圖���,所述方法具體可以包括:S100��,用戶設(shè)備接收主基站發(fā)送的第一消息�����,所述第一消息用于指示所述用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)。S102���,所述用戶設(shè)備根據(jù)所述主基站的安全上下文和所述第一消息生成所述輔基站的密鑰�����,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信��。本發(fā)明實施方式中�����,用戶設(shè)備UE接收主基站發(fā)送的增加輔基站控制的至少一個小區(qū)為該用戶設(shè)備UE的服務(wù)小區(qū)的第一消息,所述第一消息可以是RRC(Radio ResourceControl���,無線資源控制)重配置消息��,然而�����,也可以是其他適合發(fā)送上述信息的消息�����。需要說明的是��,要增加的輔基站控制的小區(qū)可以是一個小區(qū)�,也可以是多個(一個以上)小區(qū)���,例如兩個小區(qū)或三個小區(qū)等�。本發(fā)明實施方式中主基站和輔基站采用不同的密鑰���,即密鑰是基站級的���。對于同一用戶設(shè)備,不同基站上的服務(wù)小區(qū)發(fā)出的數(shù)據(jù)可以采用不同的密鑰��,而同一基站(無論是主基站�,還是輔基站)下的服務(wù)小區(qū)的數(shù)據(jù)發(fā)送可以采用相同的密鑰���。當輔基站成為主基站時,密鑰可以不進行衍生���,保持不變�,這樣可有利于減少數(shù)據(jù)傳輸中斷�����,提高數(shù)據(jù)傳輸?shù)馁|(zhì)量�。本發(fā)明實施方式中的輔基站可以是適合為用戶設(shè)備UE增加的任意一個基站。本發(fā)明實施方式中�����,當用戶設(shè)備UE收到的RRC重配置消息中增加的輔基站控制的至少一個小區(qū)(包括一個或一個以上小區(qū))是該UE第一次增加該輔基站控制的小區(qū)時��,換而言之���,該UE當前的所有服務(wù)小區(qū)中沒有一個是屬于該輔基站控制的小區(qū)時,用戶設(shè)備UE根據(jù)該用戶設(shè)備自身已經(jīng)保存的當前主基站的安全上下文(例如��,密鑰��、NCC等主基站的安全相關(guān)信息)和所接收的RRC連接重配置消息中增加的輔基站控制的小區(qū)的標識信息來生成該UE與所述輔基站控制的小區(qū)通信的密鑰。如上所述���,本發(fā)明實施方式中的密鑰是基站級的����,當UE增加的輔基站下小區(qū)不是該UE第一次增加的該輔基站控制的小區(qū)時�����,根據(jù)本發(fā)明實施方式的方法�����,UE無需進行密鑰衍生�����,可使用第一次增加該輔基站控制的小區(qū)生成的密鑰進行數(shù)據(jù)通信�����。需要明確的是�����,本發(fā)明實施方式中的輔基站可以是為該UE增加的所有輔基站中的任何一個,當為該UE增加輔基站(包含一個或一個以上輔基站)控制的小區(qū)為服務(wù)小區(qū)時����,總是基于該UE的主基站的安全上下文進行密鑰衍生。本發(fā)明實施方式中���,RRC連接重配置消息包含為該UE增加的輔基站控制的一個或一個以上小區(qū)的 PCI (Physical Cell Identity�����,物理小區(qū)標識)和 EARFCN-DL(E-UTRAAbsolute Radio Frequency Channel Number-Down Link,下行絕對無線頻道編號)��。由于RRC連接重配置消息中包含要增加的輔基站控制的一個或一個以上小區(qū)PCI和EARFCN-DL�,而對于同一輔基站���,通過該輔基站控制的一個小區(qū)的PCI和EARFCN-DL參數(shù)進行密鑰衍生即可�,但是UE側(cè)和基站側(cè)必須使用相同小區(qū)的PCI和EARFCN-DL參數(shù)進行密鑰衍生���,以保持兩側(cè)密鑰的一致性。本發(fā)明的實施方式中一種方式是UE選擇要增加的小區(qū)數(shù)組中的第一個小區(qū)作為密鑰衍生小區(qū)�����,所述第一個小區(qū)的PCI和EARFCN-DL為對應(yīng)的密鑰衍生參數(shù)。所述第一個小區(qū)可以是主基站指定的輔基站控制的一個服務(wù)小區(qū)�����,主基站通過所述服務(wù)小區(qū)的標識信息(例如��,小區(qū)的PCI和EARFCN-DL信息)進行密鑰衍生生成所述輔基站控制的小區(qū)的至少一個密鑰����,在發(fā)送至輔基站的要增加的小區(qū)數(shù)組中通過標識字段標識出指定小區(qū)的標識信息作為密鑰衍生參數(shù),輔基站在組包RRC連接重配置消息中確定密鑰衍生小區(qū),例如輔基站在向UE發(fā)送的小區(qū)數(shù)組中指定該小區(qū)數(shù)組中的第一個小區(qū)的標識信息為密鑰衍生參數(shù)�����。另一種方式是����,主基站在發(fā)送至輔基站的要增加的小區(qū)數(shù)組中不標識出密鑰衍生參數(shù),輔基站在組包RRC連接重配置消息中自行確定密鑰衍生小區(qū)的標識信息為密鑰衍生參數(shù)��,UE可以根據(jù)所述標識的密鑰衍生參數(shù)進行密鑰衍生�����。在本實施例中,用戶設(shè)備UE可以根據(jù)事先保存的當前主基站的密鑰����,將小區(qū)數(shù)組中第一個小區(qū)的PCI和EARFCN-DL作為參數(shù)進行水平密鑰衍生來生成用戶設(shè)備UE與該輔基站通信的密鑰,其中密鑰衍生的方法可以參見圖2所示���,圖中Kasme為UE側(cè)和MME均保存的該UE的根密鑰�,KeNB為基站安全密鑰�,NH(Next Hop,下一跳)是直接通過根密鑰Kasme —次次衍生得出的安全中間參數(shù)��,每一次衍生����,NCC值增加,也就是說�����,NH, NCC成對出現(xiàn)��??偸腔谇耙粋€Kdffi進行衍生的方式稱之為水平衍生�,通過NH進行密鑰衍生的方式稱之為垂直衍生。需要說明的是,本發(fā)明實施方式中的UE或輔基站的密鑰衍生方式�����,除了可以采用圖2所示的串行方式之外����,還可以采用圖3所示的并行衍生的方式,為了方便顯示�����,圖3中僅示例性的示出了兩個并行衍生的例子��,本領(lǐng)域技術(shù)人員可根據(jù)需要任意選擇合適的密鑰衍生方式��。盡管本發(fā)明的 實施方式中描述的是可以給UE增加的一個輔基站的密鑰生成方法��,本領(lǐng)域技術(shù)人員還可以采用類似的方法為UE增加的多個輔基站進行密鑰衍生���。例如�����,在采用串行密鑰衍生的實施方式中����,主基站的密鑰為Kdffil,,為UE增加的第一個輔基站的密鑰可以是基于主基站的密鑰ΚεΝΒ1,進行密鑰衍生生成的密鑰ΚεΝΒ2,�,而為UE增加的第二個輔基站的密鑰的可以是基于所述第一個輔基站的密鑰Keffi2生成的KeNB3,然后而UE增加的第三個輔基站的密鑰可以是基于所述第二個輔基站的密鑰ΚεΝΒ3進行密鑰衍生生成的密鑰ΚεΝΒ3����,換而言之,為UE增加的第一輔基站��、第二個輔基站以及第三個輔基站的密鑰之間可以看做串行關(guān)系�。又例如,在采用并行密鑰衍生的實施方式中��,主基站的密鑰為Κ^,�,為UE增加的一個或多個(例如,兩個或兩個以上)輔基站的一個或多個密鑰可以都是基于ΚεΝΒ1,衍生的得到的密鑰�,即無論為UE增加多少個輔基站,所有的輔基站的密鑰可以是總是基于主基站的密鑰進行密鑰衍生��,換而言之�����,所增加的多個輔基站的密鑰相對于主基站的密鑰可以看作是并行關(guān)系����。在本實施例中����,用戶設(shè)備UE可以根據(jù)當前主基站的密鑰����,所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL進行水平密鑰衍生獲取UE與該輔基站控制的小區(qū)通信的密鑰��。需要說明的是���,在通信過程中���,當輔基站中作為密鑰衍生的小區(qū)刪除時,如果該輔基站下還有其他可用的小區(qū)���,仍然可以繼續(xù)使用所述已刪除小區(qū)衍生的密鑰作為密鑰�����。
本發(fā)明實施方式中�,UE所接收的RRC連接重配置消息除了包含要增加的輔基站下的一個或一個以上小區(qū)的PCI和EARFCN-DL之外���,還可以包含下一跳計數(shù)器NCC���,所述NCC可以是第一下一跳計數(shù)器NCC或第二 NCC����,其中第一 NCC為所述主基站的更新的NCC��,所述第二 NCC為所述主基站的當前密鑰對應(yīng)的NCC����。所述第一 NCC或第二 NCC是UE的輔基站接收到的來自UE的主基站的用于生成所述輔基站密鑰的參數(shù),由于在主基站中����,密鑰衍生的方式不確定,可以是根據(jù)主基站的密鑰和要增加的服務(wù)小區(qū)的標識進行水平衍生(所述主基站的當前密鑰對應(yīng)的NCC為第二 NCC)�����,那么主基站發(fā)送至輔基站的用于所述輔基站密鑰衍生的NCC為第二 NCC�����,主基站還可以是根據(jù)主基站中保存的移動管理實體MME確定的更新的NCC(所述更新的NCC還未用于密鑰衍生)和要增加的服務(wù)小區(qū)的標識進行垂直衍生(所述更新的NCC為第二 NCC)��,那么主基站發(fā)送至輔基站的用于所述輔基站密鑰衍生的NCC為第一 NCC。無論上述兩種情況的哪一種���,輔基站都會將接收到的第一 NCC或第二 NCC再發(fā)送至用戶設(shè)備���,以確保UE中的密鑰衍生的參數(shù)與輔基站的密鑰一致��。如果UE所接收的RRC連接重配置消息中包含的是第一 NCC (即:主基站中保存的MME確定的更新NCC的場景)��,則UE可以根據(jù)所接收的RRC消息中的第一 NCC對應(yīng)的NH��,所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL進行垂直衍生����,以生成UE與該輔基站的小區(qū)通信的密鑰。其中��,密鑰衍生方法可參見圖2和圖3����。如果UE所接收的RRC連接重配置消息中包含的是第
二NCC(即:主基站當前所用的密鑰對應(yīng)的NCC的場景),則用戶設(shè)備UE可以根據(jù)當前主基站的密鑰�����,所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL生成用戶設(shè)備與所述輔基站的小區(qū)之間通信的所密鑰,其中密鑰衍生的方式可以參見圖2和圖3所示���。本發(fā)明實施方式中����,用戶設(shè)備UE所接收的RRC連接重配置消息中還可以包含所述輔基站使用的安全算法�����,所述安全算法是所述輔基站根據(jù)接收到的來自所述主基站的用戶設(shè)備的安全能力(例如用戶設(shè)備能夠支持的安全算法)確定出的����。所述安全算法可以是與上述生成的密鑰一起使用并適用于該UE的安全能力的任何合適的安全算法。用戶設(shè)備UE與該輔基站通信時��,采用該安全算法和密鑰進行數(shù)據(jù)加密�����。本發(fā)明實施方式提供的基站間載波聚合的安全通訊方法保證了用戶設(shè)備UE與同一輔基站之間通信所用密鑰的一致性����,并且不同的輔基站使用不同的密鑰保證了空口的數(shù)據(jù)傳輸安全,防止了空口安全攻擊。參見圖4����,圖示了根據(jù)本發(fā)明實施方式的基站間載波聚合的安全通訊方法的第二示意圖,所述方法可以包括:S400�,主基站確定為用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)。S402����,所述主基站根據(jù)所述主基站的安全上下文和所述服務(wù)小區(qū)的標識信息生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰。S404����,所述主基站向所述輔基站發(fā)送所述至少一個密鑰���,用以所述輔基站根據(jù)所述至少一個密鑰確定輔基站的密鑰�,其中�����,所述輔基站的密鑰用于所述輔基站與所述用戶設(shè)備進行通信�����。本發(fā)明實施方式中,主基站確定為用戶設(shè)備UE增加輔基站控制的小區(qū)為服務(wù)小區(qū)�����,用戶設(shè)備的主基站可以一次為UE增加該輔基站控制的一個小區(qū)為服務(wù)小區(qū)�,也可以一次為UE增加該輔基站控制的多個(一個以上)小區(qū)為服務(wù)小區(qū)。在確定為UE增加輔基站控制的小區(qū)后�����,根據(jù)預(yù)先測量的小區(qū)信息(例如�����,小區(qū)的PCI和EARFCN-DL等)等確定增加的候選小區(qū)�����,并根據(jù)當前安全上下文(例如�����,包括密鑰�、下一跳計數(shù)器NCC等安全相關(guān)信息)和增加的輔基站控制的小區(qū)的標識信息(例如,小區(qū)的PCI和EARFCN-DL等信息)進行密鑰衍生所述小區(qū)的密鑰���。由于本發(fā)明實施方式中的密鑰是基站級的����,同一輔基站通過該輔基站下一個小區(qū)的標識信息生成密鑰即可。主基站可以指定一個小區(qū)作為密鑰衍生的小區(qū)��,所述指定的一個服務(wù)小區(qū)的標識信息(例如�,小區(qū)的PCI和EARFCN-DL信息)進行密鑰衍生生成所述輔基站控制的小區(qū)的共有密鑰,在發(fā)送至輔基站的要增加的小區(qū)數(shù)組中通過標識字段標識所述指定的服務(wù)小區(qū)�����,用以指示輔基站在組裝增加的服務(wù)小區(qū)數(shù)組時將所述指定的服務(wù)小區(qū)作為所述小區(qū)數(shù)組中的第一個小區(qū)�。主基站可以根據(jù)當前的密鑰,所述指定的服務(wù)小區(qū)的PCI和EARFCN-DL進行水平密鑰衍生生成所述指定服務(wù)小區(qū)對應(yīng)的密鑰(密鑰衍生方式參見圖2和圖3)���,作為所述指定的服務(wù)小區(qū)所屬輔基站的密鑰,即UE與所述輔基站基于所有服務(wù)小區(qū)通信的共有密鑰��。主基站的當前密鑰對應(yīng)的NCC為第二 NCC����。主基站還可以根據(jù)MME確定的更新NCC(第一 NCC)和所述指定的服務(wù)小區(qū)的PCI和EARFCN-DL進行垂直密鑰衍生生成對應(yīng)所述服務(wù)小區(qū)的密鑰,作為UE與所述基站的所有服務(wù)小區(qū)通信的共有密鑰�。本發(fā)明的另一些實施方式中,主基站也可以不指定密鑰衍生的小區(qū),那么主基站可以根據(jù)當前密鑰�����,將要增加的多個小區(qū)的PCI和EARFCN-DL作為參數(shù)分別進行水平密鑰衍生(密鑰衍生方法參見圖2和圖3)以對應(yīng)所述多個小區(qū)的多個不同密鑰��,所述多個不同密鑰與所述多個小區(qū)——對應(yīng)���,即每個小區(qū)的PCI和EARFCN-DL對應(yīng)生成一個密鑰����。主基站還可以根據(jù)保存的MME確定的更新NCC(第二 NCC)����、要增加的多個小區(qū)的PCI和EARFCN-DL進行垂直密鑰衍生生成對應(yīng)所述多個小區(qū)的多個不同密鑰,所述多個不同密鑰與所述多個小區(qū)--對應(yīng)�。本發(fā)明實施方式中,用戶設(shè)備的主基站將上述所述生成一個密鑰或多個密鑰通過小區(qū)增加請求(Cell Addition Request)消息�����、或者初始上下文建立請求消息��、或者輔基站建立請求消息發(fā)送至所述輔基站�。主基站除了向輔基站發(fā)送所述一個或多個之外��,還向輔基站發(fā)送用于所述輔基站的密鑰的第一NCC或第二NCC���。此外,用戶設(shè)備的主基站還可以向輔基站發(fā)送所述用戶設(shè)備的安全能力���,所述安全能力包括用戶設(shè)備能夠支持的安全算法等信息���。所述NCC和用戶設(shè)備的 安全能力可以和所述一個或多個密鑰一起通過小區(qū)增加請求(Cell Addition Request)消息、或者初始上下文建立請求消息����、或者輔基站建立請求消息發(fā)送至輔基站。在一些實施方式中����,發(fā)送至輔基站的上述消息中還可以包含要增加的服務(wù)小區(qū)的測量報告信息(例如,小區(qū)的PCI和EARFCN-DL等信息)�����,所述測量報告信息可以用于幫助用戶設(shè)備的輔基站來最終確定為UE增加該輔基站控制的哪一個或哪一些小區(qū)為服務(wù)小區(qū)����。本發(fā)明實施方式提供的安全通訊方法在保證用戶設(shè)備UE與同一輔基站通信所用密鑰一致的同時,可以有效地保護空口的數(shù)據(jù)傳輸安全�,防止空口安全攻擊。參見圖5�,圖示了根據(jù)本發(fā)明實施方式的基站間載波聚合的安全預(yù)處理方法的第
三示意圖,所述方法具體可以包括:S500���,輔基站接收主基站發(fā)送的指示消息�,其中�,所述指示消息用于指示增加所述輔基站控制的至少一個小區(qū)為用戶設(shè)備的服務(wù)小區(qū),且所述指示消息具有對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰��。
S502����,所述輔基站根據(jù)所述至少一個密鑰確定所述輔基站的密鑰,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信�。本發(fā)明實施方式中,用戶設(shè)備的輔基站接收所述用戶設(shè)備的主基站發(fā)送的指示消息�����,所述指示消息用于指示增加的所述輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)�,且指示消息中包含與所述服務(wù)小區(qū)對應(yīng)的至少一個密鑰,所述密鑰可以是主基站指定的一個用于UE和所述輔基站的小區(qū)通信的密鑰���,也可以是與要增加的多個服務(wù)小區(qū)一一對應(yīng)的多個密鑰�,所述輔基站可以從所述多個密鑰中確定出一個密鑰作為UE和所述輔基站的小區(qū)通信的密鑰。用戶設(shè)備的輔基站還接收來自所述用戶設(shè)備的主基站的用于生成所述輔基站的密鑰的第一 NCC和第二 NCC����,其中所述第一 NCC為所述主基站的更新NCC,所述第二 NCC為所述主基站當前密鑰對應(yīng)的NCC�����。此外�,用戶設(shè)備的輔基站還接收來自所述用戶設(shè)備的主基站發(fā)送的所述用戶設(shè)備的安全能力,以及要增加的服務(wù)小區(qū)的測量報告信息��。用戶設(shè)備的輔基站可以根據(jù)增加的小區(qū)的信息(例如�,小區(qū)負載、小區(qū)的測量報告信息等)以及輔基站自身的策略等最終確定給UE增加該輔基站控制的哪一個或哪一些小區(qū)����,并且根據(jù)該UE的安全能力選擇與該UE通信所采用的安全算法。輔基站可以從所接收到的多個密鑰中確定出一個密鑰���,并將該密鑰對應(yīng)的小區(qū)標識信息(例如��,小區(qū)PCI和EARFCN-DL信息)作為密鑰衍生參數(shù)標識出來以便組裝發(fā)送至UE的第一消息��,用以指示UE采用所述標識出的密鑰衍生參數(shù)來進行密鑰衍生��,以便確保UE和基站的密鑰一致����。輔基站還可以將主基站發(fā)送的一個密鑰所對應(yīng)的小區(qū)作為要增加的小區(qū)數(shù)組中的第一個小區(qū)����,并將所述第一個小區(qū)的標識信息作為密鑰衍生參數(shù)標識出來,用以指示UE采用所述表示出的密鑰衍生參數(shù)進行密鑰衍生���。本發(fā)明的實施方式中���,用戶設(shè)備的輔基站可以將所確定出的所述輔基站的密鑰,例如主基站發(fā)送的指定的一個密鑰或者該輔基站根據(jù)所述多個密鑰確定出的一個密鑰��,通過第一消息發(fā)送至主基站����,并由所述主基站轉(zhuǎn)發(fā)至用戶設(shè)備。所述第一消息可以是RRC連接重配置消息��,所述RRC連接重配置消息可以放置在基站間的小區(qū)增加相應(yīng)消息中發(fā)送至主基站�,主基站在將所述RRC連接消息提取出來后發(fā)送至用戶設(shè)備��。所述RRC消息還可以用于指示所述用戶設(shè)備增加所述輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)���。本發(fā)明的實施方式中,用戶設(shè)備的輔基站還可以將接收到的來自主基站的第一NCC或第二 NCC經(jīng)由所述主基站發(fā)送至用戶設(shè)備�。此外,還可以將根據(jù)用戶設(shè)備的安全能力確定出的安全算法經(jīng)由主基站發(fā)送至用戶設(shè)備�。本領(lǐng)域技術(shù)人員可以根據(jù)應(yīng)用需要選擇任何合適的適于發(fā)送NCC和安全算法的消息進行發(fā)送。本發(fā)明實施方式提供的安全通訊方法確保用戶設(shè)備UE與同一輔基站通信所用密鑰的一致性�����,并且可以有效地保護空口的數(shù)據(jù)傳輸安全��,防止空口安全攻擊�����。以上結(jié)合附圖和實施例對本發(fā)明的基站間載波聚合的安全通信方法進行了闡述��,下面將結(jié)合附圖和實施例對本發(fā)明的基站間載波聚合的設(shè)備進行具體說明����。參見圖6,圖示了根據(jù)本發(fā)明實施方式的用戶設(shè)備的結(jié)構(gòu)示意圖,用戶設(shè)備600具體可以包括:接收單元602���,用于接收主基站發(fā)送的第一消息����,所述第一消息用于指示所述用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)��;處理單元604����,用于根據(jù)所述主基站的安全上下文和所述第一消息生成所述輔基站的密鑰�,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信。本發(fā)明實施方式中���,接收單元接收用戶設(shè)備的主基站發(fā)送的第一消息�����,所述第一消息可以是RRC連接重配置消息�����,所述第一消息可以用于所述用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)�����。所述第一消息還包含所述服務(wù)小區(qū)的物理小區(qū)標識PCI和下行絕對無線頻道編號EARFCN-DL���,所述處理單元可以根據(jù)當前主基站的密鑰����,將接收單元接收的所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL作為參數(shù)進行水平密鑰衍生來獲取UE與該輔基站下的小區(qū)通信的密鑰(密鑰衍生方法參見圖2和圖3所示)��,所述標識為密鑰衍生參數(shù)的PCI和EARFCN-DL可以是增加的小區(qū)數(shù)組中的第一個小區(qū)對應(yīng)PCI和EARFCN-DL�����,也可以是輔基站從多個小區(qū)的PCI和EARFCN-DL中確定出的一個PCI和EARFCN-DLo本發(fā)明實施方式中的接收單元可以通過諸如接收機之類的接收設(shè)備來實施�,處理單元可以通過數(shù)據(jù)處理設(shè)備或處理器來實施。本發(fā)明的其他一些實施方式中���,接收單元接收的RRC還可以包含用于生成輔基站的密鑰的第一下一跳計數(shù)器NCC和第二 NCC�����,所述第一 NCC為主基站更新NCC�����,第二 NCC為主基站當前密鑰對應(yīng)的NCC����。如果UE接收的是第一 NCC(即:主基站中保存的MME確定的最新的NCC的場景),處理單元可以根據(jù)所述第一 NCC對應(yīng)的NH����,所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL進行密鑰衍生生成所述輔基站的所述密鑰(密鑰衍生方式參見圖2和圖3所示)。如果UE接收的是第二 NCC��,處理單元可以根據(jù)當前主基站的密鑰�,所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL進行密鑰衍生生成所述輔基站的所述密鑰(密鑰衍生方式參見圖2和圖3)�����。本發(fā)明實施方式中����,接收單元還可以接收該輔基站使用的安全算法,所述安全算法是所述輔基站根據(jù)接收到的來自所述主基站的用戶設(shè)備的安全能力(例如用戶設(shè)備能夠支持的安全算法)確定出的�����。所述輔基站將所述安全算法經(jīng)由主基站發(fā)送至用戶設(shè)備����。所述安全算法可以是與上述生成的密鑰一起使用并適用于該UE的安全能力的任何合適的安全算法�。用戶設(shè)備UE與所述輔基站通信時�,采用該安全算法和密鑰進行數(shù)據(jù)加密。本發(fā)明實施方式提供的用戶設(shè)備UE可以執(zhí)行上述方法實施例中UE的動作��,該UE可以在載波聚合通信中����,獲取需要增加的服務(wù)小區(qū),保證與要增加的輔基站通信所用密鑰的一致性���,且有效地保證了空口數(shù)據(jù)傳輸安全�,防止空口安全攻擊�����。參見圖7���,圖示了根據(jù)本發(fā)明實施方式的基站的第一結(jié)構(gòu)示意圖�,基站700具體可以包括:確定單元700��,用于確定為用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)�����;處理單元702,用于根據(jù)所述主基站的安全上下文和所述服務(wù)小區(qū)的標識信息生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰�����;發(fā)送單元704�����,用于向所述輔基站發(fā)送所述至少一個密鑰��,用以所述輔基站根據(jù)所述至少一個密鑰確定輔基站的密鑰����,其中�,所述輔基站的密鑰用于所述輔基站與所述用戶設(shè)備進行通信。本發(fā)明實施方式的基站可以作為基站間載波聚合的安全通訊中的主基站�。確定單元確定為UE增加輔基站控制的小區(qū)為服務(wù)小區(qū),可以一次為UE增加輔基站控制的一個小區(qū)為服務(wù)小區(qū)�����,也可以一次為UE增加輔基站控制的多個(一個以上)小區(qū)為服務(wù)小區(qū)�����。在確定為UE增加輔基站下小區(qū)后,處理單元根據(jù)預(yù)先測量的小區(qū)信息(例如����,小區(qū)的PCI和EARFCN-DL等)等確定增加的候選小區(qū),并根據(jù)當前安全上下文(例如���,包括密鑰���、下一跳計數(shù)器NCC等安全相關(guān)信息)和增加的服務(wù)小區(qū)的標識信息進行密鑰衍生輔基站密鑰。具體地���,處理單元可以根據(jù)當前密鑰���,所述服務(wù)小區(qū)的物理小區(qū)標識PCI和下行絕對無線頻道編號EARFCN-DL生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰(密鑰衍生方法參見圖2和圖3)。其中��,所述至少一個密鑰可以是指定的一個服務(wù)小區(qū)的密鑰����,也可以是多個服務(wù)小區(qū)對應(yīng)的多個不同密鑰。本發(fā)明實施方式的確定單元和處理單元可以采用處理器之類的數(shù)據(jù)處理設(shè)備來實施��。本發(fā)明的實施方式中,當增加的服務(wù)小區(qū)為多個小區(qū)時�����,處理單元根據(jù)所述主基站的安全上下文和所述主基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL生成對應(yīng)所述服務(wù)小區(qū)的共有密鑰�����,或者根據(jù)所述主基站的安全上下文和所述多個服務(wù)小區(qū)的PCI和EARFCN-DL生成不同密鑰���,所述不同密鑰——對應(yīng)所述多個服務(wù)小區(qū)�����。本發(fā)明另外一些實施方式中�����,處理單元,可以根據(jù)第一 NCC對應(yīng)的下一跳NH�����、所述服務(wù)小區(qū)的PCI和EARFCN-DL生成所述對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰��,或者,根據(jù)所述主基站的當前密鑰�、所述服務(wù)小區(qū)的PCI和EARFCN-DL生成所述對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰,其中���,所述第一 NCC為所述主基站的更新NCC���,第二 NCC為所述主基站的當前密鑰對應(yīng)的NCC。本發(fā)明實施方式中�����,發(fā)送單元將處理單元生成的一個或多個密鑰發(fā)送至對應(yīng)的輔基站��,例如可以通過小區(qū)增加請求(Cell Addition Request)消息����、或者初始上下文建立請求消息、或者輔基站建立請求消息進行發(fā)送����。發(fā)送單元除了向輔基站發(fā)送所述一個或多個密鑰之外,還向輔基站發(fā)送生成所述輔基站的密鑰的第一 NCC或第二 NCC�。此外,發(fā)送單元還可以向輔基站發(fā)送所述用戶設(shè)備的安全能力,所述安全能力包括用戶設(shè)備能夠支持的安全算法等信息�。所述NCC和用戶設(shè)備的安全能力可以和所述一個或多個密鑰一起通過小區(qū)增加請求(Cell Addition Request)消息、或者初始上下文建立請求消息�、或者輔基站建立請求消息發(fā)送至輔基站。在一些實施方式中�����,發(fā)送至輔基站的上述消息中還可以包含小區(qū)的測量報告信息(例如��,小區(qū)的PCI和EARFCN-DL等信息)�,所述測量報告信息可以用于幫助輔基站來最終確定為UE增加該輔基站控制的哪一個或哪一些小區(qū)為服務(wù)小區(qū)。本發(fā)明實施方式中的發(fā)送單元可以采用諸如發(fā)射機之類的發(fā)送設(shè)備來實施�。本發(fā)明提供的基站可以執(zhí)行上述方法實施例中主基站所執(zhí)行的動作,該基站可以在載波聚合安全通信中�����,確定要為UE增加的服務(wù)小區(qū)��,并確?�;痉?wù)的用戶設(shè)備UE與要為該用戶設(shè)備UE增加的輔基站通信所用密鑰的一致性�,保證了空口數(shù)據(jù)傳輸安全�����,防止了空口安全攻擊。參見圖8����,圖示了根據(jù)本發(fā)明實施方式的基站的第二結(jié)構(gòu)示意圖,基站800具體可以包括:接收單元800��,用于接收主基站發(fā)送的指示消息�,其中,所述指示消息用于指示增加所述輔基站控制的至少一個小區(qū)為用戶設(shè)備的服務(wù)小區(qū)����,且所述指示消息具有對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰;處理單元802��,用于根據(jù)所述至少一個密鑰確定所述輔基站的密鑰���,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信�。本發(fā)明實施方式的基站可以作為基站間載波聚合的安全通訊中的輔基站�。接收單元接收主基站發(fā)送的指示消息,所述指示消息用于指示增加所述輔基站控制的至少一個小區(qū)為用戶設(shè)備的服務(wù)小區(qū)���,且所述指示消息具有對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰�����。接收單元還接收來自所述用戶設(shè)備的主基站的用于生成所述輔基站的密鑰的第一 NCC或第二NCC0此外�����,接收單元還接收來自所述用戶設(shè)備的主基站發(fā)送的所述用戶設(shè)備的安全能力�����,以及小區(qū)的測量報告信息�����。處理單元可以根據(jù)增加的候選小區(qū)的信息(例如���,小區(qū)負載���、小區(qū)的測量報告信息等)以及輔基站自身的策略等最終確定給UE增加該輔基站控制的哪一個或哪一些小區(qū),并且根據(jù)該UE的安全能力選擇與該UE通信所采用的安全算法�。由于選擇輔基站下一個小區(qū)對應(yīng)的密鑰與用戶設(shè)備通信即可,輔基站會從所接收到至少一個密鑰中確定出用于UE和該輔基站通信的密鑰�����。如果輔基站接收到的僅是主基站指定的一個密鑰,處理單元可以將所述指定的密鑰對應(yīng)的小區(qū)作為要增加的小區(qū)數(shù)組中的第一個小區(qū)��,如果輔基站接收到的是主基站發(fā)送的對應(yīng)多個服務(wù)小區(qū)的多個密鑰��,處理單元可以從所述多個密鑰中確定出一個密鑰作為UE和該輔基站的小區(qū)通信的密鑰��,并將所確定出的密鑰對應(yīng)的小區(qū)的標識信息(例如���,小區(qū)的PCI和EARFCN-DL)作為密鑰衍生參數(shù)標識出來,用以指示UE通過所述標識的密鑰衍生參數(shù)來生成密鑰���,以確保UE和基站的密鑰一致���。本發(fā)明實施方式中,發(fā)送單元將確定的要增加的小區(qū)(包括一個或一個以上小區(qū))的信息和確定出的密鑰通過第一消息經(jīng)由主基站發(fā)送至用戶設(shè)備���,所述第一消息可以是RRC連接重配置消息�����,所述RRC連接重配置消息可以放置在基站間的小區(qū)增加相應(yīng)消息中發(fā)送至主基站���,主基站在將所述RRC連接消息提取出來后發(fā)送至用戶設(shè)備����。本發(fā)明實施方式中�,發(fā)送單元還可以將輔基站所接收到的來自主基站的第一 NCC或第二 NCC經(jīng)由所述主基站發(fā)送至用戶設(shè)備。此外�����,發(fā)送單元還可以將根據(jù)所接收到的來自主基站的所述用戶設(shè)備的安全能力確定的安全算法經(jīng)由主基站發(fā)送至用戶設(shè)備���。本領(lǐng)域技術(shù)人員可以根據(jù)應(yīng)用需要選擇任何合適的適于發(fā)送NCC和安全算法的消息進行發(fā)送��。本發(fā)明實施方式中提供的基站可以執(zhí)行上述方法實施例中輔基站所執(zhí)行的動作�����,該基站可以在載波聚合通信中�����,獲取要為用戶設(shè)備UE增加的服務(wù)小區(qū)�,并且保證了與所述用戶設(shè)備UE通信所用密鑰的一致性�,以及空口數(shù)據(jù)傳輸安全。本發(fā)明實施方式提供了一種通訊系統(tǒng)�,所述通訊系統(tǒng)可包括如圖7和圖8所示的各種不同實施方式的基站�����,其中圖7所示的實施方式中的基站可以作為載波聚合通訊中用戶設(shè)備UE的主基站���,而圖7所示的實施方式中的基站可以作為載波聚合通訊中用戶設(shè)備UE的輔基站���。應(yīng)理解�,為UE增加的輔基站可以是一個或多個輔基站���,所述一個或多個輔基站的密鑰可以總是基于所述主基站的密鑰進行密鑰衍生(即:并行衍生方式的場景)�����,也可以采用上述的串行衍生方式進行衍生���。本發(fā)明實施方式提供的通訊系統(tǒng)可以在載波聚合通信中,確?����?湛跀?shù)據(jù)傳輸?shù)陌踩?��,防止空口安全攻擊����。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以通過計算機程序來指令相關(guān)的硬件來完成�,所述的程序可存儲于一計算機可讀取存儲介質(zhì)中,該程序在執(zhí)行時�,可包括如上述各方法的實施例的流程。其中���,所述的存儲介質(zhì)可為磁碟�����、光盤���、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random AccessMemory, RAM)等。以上所揭露的僅為本發(fā)明一種較佳實施例而已�����,當然不能以此來限定本發(fā)明之權(quán)利范圍�,因此依本發(fā)明權(quán)利要求所作的等同變化,仍屬本發(fā)明所涵蓋的范圍����。
權(quán)利要求
1.一種基站間載波聚合的安全通訊方法�����,其特征在于��,包括: 用戶設(shè)備接收主基站發(fā)送的第一消息��,所述第一消息用于指示所述用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū);和 所述用戶設(shè)備根據(jù)所述主基站的安全上下文和所述第一消息生成所述輔基站的密鑰��,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信�����。
2.如權(quán)利要求1所述的方法�����,其特征在于����,所述第一消息還包含所述服務(wù)小區(qū)的物理小區(qū)標識PCI和下行絕對無線頻道編號EARFCN-DL ; 所述用戶設(shè)備根據(jù)所述主基站的安全上下文和所述第一消息生成所述輔基站的密鑰���,包括: 所述用戶設(shè)備根據(jù)所述主 基站的密鑰�����、所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL生成所述輔基站的所述密鑰��。
3.如權(quán)利要求1所述的方法��,其特征在于����,所述第一消息包含所述服務(wù)小區(qū)的PCI和EARFCN-DL,還包括第一下一跳計數(shù)器NCC或第二 NCC,其中����,所述第一 NCC為所述主基站的更新NCC,所述第二 NCC為所述主基站的當前NCC ���; 所述用戶設(shè)備根據(jù)所述主基站的安全上下文和所述第一消息生成所述輔基站的密鑰��,包括: 當所述第一消息包括第一NCC時����,根據(jù)所述第一NCC對應(yīng)的下一跳NH、所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL生成所述輔基站的所述密鑰���; 當所述第一消息包括第二 NCC時�,根據(jù)所述主基站的密鑰���、所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL生成所述輔基站的所述密鑰����。
4.如權(quán)利要求1至3中任意一項所述的方法��,其特征在于���,所述第一消息為無線資源控制RRC連接重配置消息,所述RRC連接重配置消息還包含所述輔基站根據(jù)所述用戶設(shè)備的安全能力確定的安全算法�����。
5.一種基站間載波聚合的安全通訊方法����,其特征在于,包括: 主基站確定為用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)��; 所述主基站根據(jù)所述主基站的安全上下文和所述服務(wù)小區(qū)的標識信息生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰;和 所述主基站向所述輔基站發(fā)送所述至少一個密鑰���,用以所述輔基站根據(jù)所述至少一個密鑰確定輔基站的密鑰���; 其中,所述輔基站的密鑰用于所述輔基站與所述用戶設(shè)備進行通信�。
6.如權(quán)利要求5所述的方法,其特征在于�,所述主基站根據(jù)所述主基站的安全上下文和所述服務(wù)小區(qū)的標識信息生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰,包括: 所述主基站根據(jù)主基站的密鑰�����、所述服務(wù)小區(qū)的物理小區(qū)標識PCI和下行絕對無線頻道編號EARFCN-DL生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰�。
7.如權(quán)利要求6所述的方法,其特征在于�,所述主基站根據(jù)主基站的密鑰、所述服務(wù)小區(qū)的物理小區(qū)標識PCI和下行絕對無線頻道編號EARFCN-DL生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰�����,包括當所述服務(wù)小區(qū)為多個時: 所述主基站根據(jù)所述主基站的安全上下文和所述主基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL生成對應(yīng)所述服務(wù)小區(qū)的共有密鑰��;或所述主基站根據(jù)所述主基站的安全上下文和所述多個服務(wù)小區(qū)的PCI和EARFCN-DL生成不同密鑰����,所述不同密鑰一一對應(yīng)所述多個服務(wù)小區(qū)����。
8.如權(quán)利要求5所述的方法�,其特征在于,所述主基站根據(jù)所述主基站的安全上下文和所述服務(wù)小區(qū)的標識信息生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰���,包括: 根據(jù)第一 NCC對應(yīng)的下一跳NH���、所述服務(wù)小區(qū)的PCI和EARFCN-DL生成所述對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰;或者 根據(jù)所述主基站的當前密鑰�����、所述服務(wù)小區(qū)的PCI和EARFCN-DL生成所述對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰��; 其中�,所述第一 NCC為所述主基站的更新NCC���,所述主基站的當前密鑰對應(yīng)的NCC為第二 NCC��。
9.如權(quán)利要求8所述的方法�,其特征在于,還包括: 所述主基站向所述輔基站發(fā)送用于生成所述輔基站的所述密鑰的所述第一 NCC或所述第二 NCC���。
10.如權(quán)利要求5至9任一項所述的方法�,其特征在于����,還包括: 所述主基站向所述輔基站發(fā)送所述用戶設(shè)備的安全能力。
11.如權(quán)利要求5至10任一項所述的方法�,其特征在于,所述主基站向所述輔基站發(fā)送所述至少一個密鑰���,包括: 所述主基站向所述 輔基站發(fā)送具有所述至少一個密鑰的以下任意一種消息:小區(qū)增加請求消息�、初始上下文建立請求消息�、或者輔基站建立請求消息。
12.—種基站間載波聚合的安全通訊方法�����,其特征在于�����,包括: 輔基站接收主基站發(fā)送的指示消息�����,其中,所述指示消息用于指示增加所述輔基站控制的至少一個小區(qū)為用戶設(shè)備的服務(wù)小區(qū)��,且所述指示消息具有對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰�����; 所述輔基站根據(jù)所述至少一個密鑰確定所述輔基站的密鑰�,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信。
13.如權(quán)利要求12所述的方法���,其特征在于����,還包括: 所述輔基站經(jīng)由所述主基站轉(zhuǎn)發(fā)第一消息至所述用戶設(shè)備�����,所述第一消息用于指示所述用戶設(shè)備增加所述輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)���。
14.如權(quán)利要求13所述的方法���,其特征在于: 所述第一消息具有來自主基站的第一下一跳計數(shù)器NCC和第二 NCC,其中,所述第一NCC或所述第二 NCC用于生成所述輔基站的所述密鑰���,所述第一 NCC為所述主基站的更新NCC����,所述第二 NCC為所述主基站的當前密鑰對應(yīng)的NCC��。
15.如權(quán)利要求13或14所述的方法���,其特征在于�����,還包括: 所述輔基站將根據(jù)所述用戶設(shè)備的安全能力確定的安全算法經(jīng)由所述主基站發(fā)送至所述用戶設(shè)備���,其中,所述用戶設(shè)備的安全能力由所述主基站發(fā)送至所述輔基站���。
16.一種用戶設(shè)備����,其特征在于���,包括: 接收單元���,用于接收主基站發(fā)送的第一消息��,所述第一消息用于指示所述用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)����; 處理單元�����,用于根據(jù)所述主基站的安全上下文和所述第一消息生成所述輔基站的密鑰�,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信。
17.如權(quán)利要求16所述的用戶設(shè)備����,其特征在于,所述第一消息還包含所述服務(wù)小區(qū)的物理小區(qū)標識PCI和下行絕對無線頻道編號EARFCN-DL ���; 所述處理單元��,進一步用于根據(jù)所述主基站的密鑰�����、所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL生成所述輔基站的所述密鑰����。
18.如權(quán)利要求16所述的用戶設(shè)備�,其特征在于,所述第一消息包含所述服務(wù)小區(qū)的PCI和EARFCN-DL��,還包括第一下一跳計數(shù)器NCC或第二 NCC�����,其中�,所述第一 NCC為所述主基站的更新NCC,所述第二 NCC為所述主基站的當前NCC �����; 所述處理單元�,進一步用于: 當所述第一消息包括第一 NCC時,根據(jù)所述第一 NCC對應(yīng)的下一跳NH��、所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL生成所述輔基站的所述密鑰��; 當所述第一消息包括第二 NCC時����,根據(jù)所述主基站的密鑰�����、所述輔基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL生成所述輔基站的所述密鑰����。
19.如權(quán)利要求16至18任一 項所述的用戶設(shè)備��,其特征在于����,所述第一消息為無線資源控制RRC連接重配置消息,所述RRC連接重配置消息還包含所述輔基站根據(jù)所述用戶設(shè)備的安全能力確定的安全算法��。
20.一種基站���,其特征在于����,包括: 確定單元��,用于確定為用戶設(shè)備增加輔基站控制的至少一個小區(qū)為服務(wù)小區(qū); 處理單元��,用于根據(jù)所述主基站的安全上下文和所述服務(wù)小區(qū)的標識信息生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰�; 發(fā)送單元,用于向所述輔基站發(fā)送所述至少一個密鑰��,用以所述輔基站根據(jù)所述至少一個密鑰確定輔基站的密鑰���; 其中,所述輔基站的密鑰用于所述輔基站與所述用戶設(shè)備進行通信�����。
21.如權(quán)利要求20所述的基站�,其特征在于,所述處理單元����,進一步用于根據(jù)主基站的密鑰、所述服務(wù)小區(qū)的物理小區(qū)標識PCI和下行絕對無線頻道編號EARFCN-DL生成對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰�。
22.如權(quán)利要求21所述的基站,其特征在于�,所述處理單元,進一步用于: 當所述服務(wù)小區(qū)為多個時�,根據(jù)所述主基站的安全上下文和所述主基站標識為密鑰衍生參數(shù)的PCI和EARFCN-DL生成對應(yīng)所述服務(wù)小區(qū)的共有密鑰;或者, 當所述服務(wù)小區(qū)為多個時�����,根據(jù)所述主基站的安全上下文和所述多個服務(wù)小區(qū)的PCI和EARFCN-DL生成不同密鑰���,所述不同密鑰——對應(yīng)所述多個服務(wù)小區(qū)�。
23.如權(quán)利要求20所述的基站����,其特征在于,所述處理單元�,進一步用于: 根據(jù)第一 NCC對應(yīng)的下一跳NH、所述服務(wù)小區(qū)的PCI和EARFCN-DL生成所述對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰����;或者, 根據(jù)所述主基站的當前密鑰�、所述服務(wù)小區(qū)的PCI和EARFCN-DL生成所述對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰; 其中���,所述第一 NCC為所述主基站的更新NCC�,第二 NCC為所述主基站的當前密鑰對應(yīng)的 NCC�����。
24.如權(quán)利要求23所述的基站,其特征在于�����,所述發(fā)送單元�����,還用于向所述輔基站發(fā)送用于生成所述輔基站的所述密鑰的所述第一 NCC或第二 NCC��。
25.如權(quán)利要求20至24任一項所述的基站��,其特征在于����,所述發(fā)送單元�����,還用于向所述輔基站發(fā)送所述用戶設(shè)備的安全能力�����。
26.如權(quán)利要求20至25任一項所述的基站,其特征在于�,所述發(fā)送單元向所述輔基站發(fā)送具有所述至少一個密鑰的以下任意一種消息:小區(qū)增加請求消息、初始上下文建立請求消息���、或者輔基站建立請求消息���。
27.—種基站,其特征在于����,包括: 接收單元,用于接收主基站發(fā)送的指示消息���,其中���,所述指示消息用于指示增加所述輔基站控制的至少一個小區(qū)為用戶設(shè)備的服務(wù)小區(qū),且所述指示消息具有對應(yīng)所述服務(wù)小區(qū)的至少一個密鑰�; 處理單元,用于根據(jù)所述至少一個密鑰確定所述輔基站的密鑰���,所述輔基站的所述密鑰用于所述用戶設(shè)備與所述輔基站進行通信����。
28.如權(quán)利要求27所述的基站,其特征在于�,還包括: 發(fā)送單元,用于發(fā)送第一消息至所述主基站��,用于經(jīng)由所述主基站轉(zhuǎn)發(fā)所述第一消息至所述用戶設(shè)備�����,其中����,所述第一消息用于指示所述用戶設(shè)備增加所述輔基站控制的至少一個小區(qū)為服務(wù)小區(qū)。
29.如權(quán)利要求28所述的基站�,其特征在于:所述第一消息具有來自主基站的第一下一跳計數(shù)器NCC和第二 NCC,其中�����,所述第一 NCC或所述第二 NCC用于生成所述輔基站的所述密鑰��,所述第一 NCC為所述主基站的更新NCC���,所述第二 NCC為所述主基站的當前密鑰對應(yīng)的NCC。
30.如權(quán)利要求28或29所述的基站�,其特征在于��,所述發(fā)送單元�����,還用于將根據(jù)所述用戶設(shè)備的安全能力確定的安全算法經(jīng)由所述主基站發(fā)送至所述用戶設(shè)備����,其中�����,所述用戶設(shè)備的安全能力由所述主基站發(fā)送至所述輔基站��。
31.一種通訊系統(tǒng)�����,其特征在于����,包括: 如權(quán)利要求20至26任一項所述的基站;和 如權(quán)利要求27至30任一項所述的基站���。
全文摘要
本發(fā)明公開了一種基站間載波聚合的安全通訊方法���,包括用戶設(shè)備接收用戶設(shè)備的主基站發(fā)送的增加輔基站控制的小區(qū)的服務(wù)小區(qū)的第一消息���,根據(jù)用戶設(shè)備的主基站的安全上下文和第一消息生成密鑰,所述密鑰用于與所述輔基站控制的小區(qū)進行通信�����。本發(fā)明還公開了相應(yīng)的用戶設(shè)備和基站��。實施本發(fā)明的方法和設(shè)備可以有效地保護空口的數(shù)據(jù)傳輸安全����,防止空口安全攻擊。
文檔編號H04W12/04GK103188663SQ20111044375
公開日2013年7月3日 申請日期2011年12月27日 優(yōu)先權(quán)日2011年12月27日
發(fā)明者張宏平 申請人:華為技術(shù)有限公司