一種密鑰隔離方法及設(shè)備的制作方法
【專利摘要】本發(fā)明公開了密鑰隔離方法及設(shè)備�。該方法包括:宏基站在判決對(duì)用戶設(shè)備的用戶面承載進(jìn)行切換后,根據(jù)用于將目標(biāo)基站區(qū)別于其它基站的參數(shù)���,以及所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰���,生成所述目標(biāo)基站與所述用戶設(shè)備通信時(shí)使用的密鑰;所述宏基站將所述參數(shù)發(fā)送給所述用戶設(shè)備�����,以使所述用戶設(shè)備根據(jù)所述參數(shù)以及所述用戶設(shè)備與所述宏基站共享的臨時(shí)密鑰��,生成所述用戶設(shè)備與所述目標(biāo)基站通信時(shí)使用的密鑰。采用本發(fā)明可在承載分離網(wǎng)絡(luò)中實(shí)現(xiàn)基站間的密鑰隔離�����,以保證用戶設(shè)備通信安全��。
【專利說明】一種密鑰隔罔方法及設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及無線通信領(lǐng)域�,尤其涉及一種應(yīng)用于承載分離網(wǎng)絡(luò)的密鑰隔離方法及設(shè)備。
【背景技術(shù)】
[0002]傳統(tǒng)的宏基站(macro eNB)單層覆蓋網(wǎng)絡(luò)已經(jīng)不能滿足人們對(duì)數(shù)據(jù)業(yè)務(wù)速率和容量不斷增長(zhǎng)的需求����。因此,分層組網(wǎng)的方式被引入來解決該問題:通過在熱點(diǎn)區(qū)域�、家庭室內(nèi)環(huán)境、辦公環(huán)境等小覆蓋環(huán)境布設(shè)一些低功率的基站(下面以local eNB表示���,即本地基站,包括Femto/Pico/Relay等形式)�����,獲得小區(qū)分裂的效果�����,使得運(yùn)營商能夠?yàn)橛脩籼峁└邤?shù)據(jù)速率、更低成本的業(yè)務(wù)�。
[0003]分層組網(wǎng)在增加網(wǎng)絡(luò)容量的同時(shí),也帶來了一定的負(fù)作用:由于低功率基站小區(qū)(下面以小小區(qū)表示)的覆蓋范圍小�����,使得UE (User Equipment���,用戶設(shè)備)的切換頻率和次數(shù)都大大增加�,增加了 UE在進(jìn)行切換時(shí)發(fā)生通信中斷的風(fēng)險(xiǎn)����。
[0004]為了降低UE在宏小區(qū)和本地小小區(qū)之間進(jìn)行切換的頻率,一種用戶面和控制面分離的網(wǎng)絡(luò)部署方式被引入��。如圖1所示����,宏小區(qū)提供基礎(chǔ)覆蓋,本地小小區(qū)提供熱點(diǎn)覆蓋����,小小區(qū)與宏小區(qū)之間存在數(shù)據(jù)/信令接口(有線/無線接口),UE可以工作在宏小區(qū)或本地小小區(qū)下��。由于本地基站控制的小區(qū)覆蓋范圍小,服務(wù)的UE少����,所以,連接到本地基站的UE往往能獲得更好的服務(wù)質(zhì)量�,如:獲得更高的業(yè)務(wù)速率,更高質(zhì)量的鏈路��。因此���,當(dāng)連接到宏基站的UE接近本地基站控制的小區(qū)時(shí)��,可以將用戶面轉(zhuǎn)移到本地基站以獲得本地基站提供的服務(wù)���;當(dāng)UE遠(yuǎn)離本地基站控制的小區(qū)時(shí),需要將用戶面轉(zhuǎn)換到宏基站控制的小區(qū)�����,以保持無線連接����。
[0005]在以上承載分離的網(wǎng)絡(luò)架構(gòu)下�,當(dāng)UE在只有宏小區(qū)覆蓋的區(qū)域��,UE的控制面連接和用戶面連接(即DRB =Data Radio Bearer���,數(shù)據(jù)無線承載)都在宏基站;當(dāng)UE移動(dòng)到宏小區(qū)和本地小小區(qū)重疊覆蓋區(qū)域時(shí)���,UE的全部或者部分用戶面連接(DRB)被轉(zhuǎn)移到本地基站��,以獲得更高的業(yè)務(wù)傳輸速率��,控制面連接仍然保持在宏基站��,以防止控制面連接切換失敗造成UE掉話���。
[0006]圖2示出了一種采用控制面與用戶面分離技術(shù)的網(wǎng)絡(luò)架構(gòu),UE同時(shí)連接到兩個(gè)eNB,圖中M-L接口表示macro eNB與local eNB之間的邏輯接口�����,可以是新定義的�����,也可以利用已經(jīng)標(biāo)準(zhǔn)化的X2接口��。UE的SRB (Signalling Radio Bearer,信令無線承載)保留在macro eNB 上,而所有或部分 DRB 的 F1DCP (Packet Data Convergence Protocol,分組數(shù)據(jù)匯聚協(xié)議)/RLC (Radio Link Control,無線連接控制)/MAC (Media Access Control,媒體接入控制)/PHY (Physical layer�,物理層)部分保持在local eNB上。UE的上行數(shù)據(jù)到達(dá)local eNB之后直接發(fā)往SGW (服務(wù)網(wǎng)關(guān))�����,UE的下行數(shù)據(jù)到達(dá)SGW之后直接發(fā)往localeNB,從而減少了 macro eNB對(duì)UE數(shù)據(jù)包的處理負(fù)擔(dān)�����。
[0007]在圖2所示的架構(gòu)中���,local eNB具有完整的用戶面協(xié)議棧�����,圖3示出了 UE與local eNB之間的用戶面協(xié)議棧�。[0008]圖4示出了另一種采用控制面與用戶面分離技術(shù)的網(wǎng)絡(luò)架構(gòu)���。該架構(gòu)下����,macroeNB具有完整的用戶面和控制面協(xié)議棧���,其與UE之間的用戶面和控制面協(xié)議棧如圖3所示�。local eNB具有完整的用戶面協(xié)議棧��,以及部分RRC (Radio Resource Control,無線資源控制)協(xié)議功能����。local eNB的用戶面協(xié)議棧也如圖3所示,而控制面協(xié)議棧如圖5所示����,其中“Sub RRC層”表示只含有部分RRC功能的協(xié)議棧,例如僅包含無線資源管理功能���。
[0009]在圖2和圖3所示的兩種采用控制面與用戶面分離技術(shù)的網(wǎng)絡(luò)架構(gòu)下�,local eNB上存在HXP層���,因此local eNB需要獲得UE的加密密鑰��。對(duì)于圖2所示架構(gòu)��,local eNB還需要獲得對(duì)RRC消息進(jìn)行完整性保護(hù)的密鑰�。假設(shè)一個(gè)macro eNB覆蓋范圍內(nèi)部署了多個(gè)local eNB,并且有可能local eNB之間存在重疊覆蓋區(qū),那么UE有可能在local eNB之間進(jìn)行切換����,或是在macro eNB和local eNB之間進(jìn)行切換�����。local eNB作為一個(gè)不安全的接入網(wǎng)節(jié)點(diǎn)��,有可能被黑客攻破�。為了保證某個(gè)local eNB被攻破后不影響UE在其他基站(包括macro eNB和其它local eNB)上的通信安全����,需要在local eNB之間以及macro eNB和local eNB之間進(jìn)行密鑰隔離,但目前還沒有機(jī)制能夠解決該問題���。
【發(fā)明內(nèi)容】
[0010]本發(fā)明實(shí)施例提供了一種密鑰隔離方法及設(shè)備�����,用以在承載分離網(wǎng)絡(luò)中實(shí)現(xiàn)基站間的密鑰隔離���,以保證用戶設(shè)備通信安全。
[0011]本發(fā)明實(shí)施例提供的密鑰隔離方法����,包括:
宏基站在判決對(duì)用戶設(shè)備的用戶面承載進(jìn)行切換后�,根據(jù)用于將目標(biāo)基站區(qū)別于其它基站的參數(shù)�����,以及所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰���,生成所述目標(biāo)基站與所述用戶設(shè)備通信時(shí)使用的密鑰;
所述宏基站將所述參數(shù)發(fā)送給所述用戶設(shè)備����,以使所述用戶設(shè)備根據(jù)所述參數(shù)以及所述用戶設(shè)備與所述宏基站共享的臨時(shí)密鑰,生成所述用戶設(shè)備與所述目標(biāo)基站通信時(shí)使用的密鑰����。
[0012]本發(fā)明實(shí)施例提供的宏基站設(shè)備,包括:切換判決模塊�、密管理模塊、密鑰生成模塊和第一發(fā)送模塊�,其中:
切換判決模塊,用于對(duì)用戶設(shè)備進(jìn)行用戶面承載切換判決�����;
密鑰管理模塊,用于在所述切換判決模塊判決對(duì)用戶設(shè)備進(jìn)行用戶面承載切換時(shí)���,向所述密鑰生成模塊發(fā)送生成密鑰的指示���,并向所述第一發(fā)送模塊發(fā)送傳輸所述參數(shù)的指示;
密鑰生成模塊��,用于按照所述密鑰管理模塊的指示���,根據(jù)用于將目標(biāo)基站區(qū)別于其它基站的參數(shù)���,以及所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰,生成所述目標(biāo)基站與所述用戶設(shè)備通信時(shí)使用的密鑰����;
第一發(fā)送模塊,用于根據(jù)所述密鑰管理模塊的指示��,將所述參數(shù)發(fā)送給所述用戶設(shè)備���,以使所述用戶設(shè)備根據(jù)所述參數(shù)以及所述用戶設(shè)備與所述宏基站共享的臨時(shí)密鑰��,生成所述用戶設(shè)備與所述目標(biāo)基站通信時(shí)使用的密鑰���。
[0013]本發(fā)明的上述實(shí)施例在承載分離的網(wǎng)絡(luò)中�����,當(dāng)用戶設(shè)備的用戶面承載在基站間進(jìn)行切換時(shí)����,由于宏基站在為目標(biāo)基站生成空口會(huì)話密鑰時(shí)�����,使用了該目標(biāo)基站區(qū)別于其它基站的參數(shù)�����,因此�,能夠保證宏基站為不同的基站所生成的空口會(huì)話密鑰各不相同���,從而實(shí) 現(xiàn)基站間的密鑰隔離�。
【專利附圖】
【附圖說明】
[0014]圖1為現(xiàn)有技術(shù)中的用戶面和控制面分離的網(wǎng)絡(luò)架構(gòu)示意圖����;
圖2為現(xiàn)有技術(shù)中的一種控制面和用戶面分離架構(gòu)的接口關(guān)系示意圖;
圖3為現(xiàn)有技術(shù)中控制面和用戶面分尚架構(gòu)的local eNB用戶面協(xié)議棧;
圖4為現(xiàn)有技術(shù)中的另一種控制面和用戶面分離架構(gòu)的接口關(guān)系示意圖�;
圖5為現(xiàn)有技術(shù)中控制面和用戶面分離架構(gòu)的local eNB控制面協(xié)議棧;
圖6為本發(fā)明實(shí)施例提供的用戶切換過程中的密鑰隔離流程示意圖��;
圖7為本發(fā)明實(shí)施例一提供的用戶切換過程中的密鑰隔離流程示意圖���;
圖8為本發(fā)明實(shí)施例二提供的用戶切換過程中的密鑰隔離流程示意圖����;
圖9為本發(fā)明實(shí)施例提供的基站設(shè)備的結(jié)構(gòu)示意圖����。
【具體實(shí)施方式】
[0015]為了針對(duì)承載分離(主要是控制面和用戶面分離)的網(wǎng)絡(luò)架構(gòu),在UE切換時(shí)實(shí)現(xiàn)密鑰隔離���,以保證UE通信安全�,本發(fā)明實(shí)施例中���,當(dāng)UE更換接入基站(包括local eNB或是macro eNB)時(shí)����,UE和基站引入新的參數(shù)(該參數(shù)可用于將基站與其它基站相區(qū)別)�,并結(jié)合同一個(gè)KeNB (KeNB為用于生成空口會(huì)話密鑰的臨時(shí)密鑰)對(duì)不同的接入基站推導(dǎo)出不同的空口會(huì)話密鑰��,從而實(shí)現(xiàn)local eNB之間以及macro eNB和local eNB之間的密鑰隔離�。
[0016]圖6為本發(fā)明實(shí)施例提供的用戶切換過程中的密鑰隔離流程的總體流程示意圖�����,如圖所示�,該流程可包括:
步驟601,maCro eNB根據(jù)UE發(fā)送的測(cè)量報(bào)告進(jìn)行用戶面承載切換判決�����,判決結(jié)果為將UE的用戶面承載切換到目標(biāo)local eNB��。
[0017]步驟602��,macro eNB根據(jù)用于將該目標(biāo)local eNB區(qū)別于其它eNB的參數(shù)����,以及macro eNB與該UE共享的臨時(shí)密鑰(臨時(shí)密鑰KeNB或下一跳密鑰NH)��,生成目標(biāo)local eNB與該UE通信時(shí)使用的密鑰(即空口會(huì)話密鑰)����。
[0018]步驟603�����,macro eNB將步驟602中生成的空口會(huì)話密鑰發(fā)送給該目標(biāo)local eNB進(jìn)行保存���。具體實(shí)施時(shí),macro eNB可通過用戶面切換請(qǐng)求消息發(fā)送該空口會(huì)話密鑰給該目標(biāo)local eNB���,也可通過本發(fā)明實(shí)施例新定義的消息發(fā)送該空口會(huì)話密鑰給該目標(biāo)localeNB�����。
[0019]步驟604�����,macro eNB將所述用于將目標(biāo)local eNB區(qū)別于其它eNB的參數(shù)發(fā)送給該UE���。具體實(shí)施時(shí),macro eNB可通過用戶面切換命令將該參數(shù)發(fā)送給該UE����。
[0020]步驟605,該UE根據(jù)接收到的參數(shù)����,以及該UE與該macro eNB共享的臨時(shí)密鑰�����,生成該UE與該目標(biāo)local eNB通信時(shí)使用的密鑰(即空口會(huì)話密鑰)���。
[0021]后續(xù),UE與該目標(biāo)local eNB進(jìn)行通信時(shí)����,即可使用與該local eNB之間的空口會(huì)話密鑰對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。由于macro eNB在為目標(biāo)local eNB生成空口會(huì)話密鑰時(shí)�����,使用了該目標(biāo)local eNB區(qū)別于其它eNB的參數(shù)���,因此,能夠保證macro eNB為不同的local eNB所生成的空口會(huì)話密鑰各不相同,從而實(shí)現(xiàn)基站間的密鑰隔離���。
[0022]需要說明的是���,以上流程適用于將UE的用戶面承載從macro eNB切換到localeNB的過程��,或者將UE的用戶面承載從macro eNB覆蓋范圍內(nèi)的一個(gè)local eNB切換到另一個(gè)local eNB的過程�����。
[0023]如果步驟601中macro eNB判決將UE的用戶面承載從local eNB切換到macroeNB���,則步驟602中macro eNB生成的空口密鑰為本基站與該UE間的空口會(huì)話密鑰,且無需發(fā)送給local eNB (即不執(zhí)行步驟603)���,步驟604中UE生成的空口會(huì)話密鑰將用于該UE與該macro eNB的通信過程�。這種情況下��,由于macro eNB在生成空口會(huì)話密鑰時(shí)使用了用于將本基站區(qū)別于其它基站(macro eNB和local eNB)的參數(shù)�����,因此能夠保證macro eNB所生成的空口會(huì)話密鑰與為該macro eNB下的其它local eNB所生成的空口會(huì)話密鑰����,以及與其它macro eNB所生成的空口會(huì)話密鑰各不相同,從而實(shí)現(xiàn)基站間的密鑰隔離��。
[0024]下面結(jié)合具體切換場(chǎng)景�����,對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述。
[0025]實(shí)施例一
本實(shí)施例描述了在承載分離的網(wǎng)絡(luò)中�����,UE的部分或者全部用戶面承載從macro eNB切換到local eNB時(shí)的切換流程���。如圖7所示��,一種可能的用戶切換流程包括如下步驟f 16:r2,macro eNB對(duì)UE進(jìn)行測(cè)量配置�����,UE后繼根據(jù)收到的測(cè)量配置信息執(zhí)行測(cè)量����;UE在macro eNB為UE分配的上行資源上��,上報(bào)測(cè)量結(jié)果����,該測(cè)量結(jié)果將用于輔助macro eNB進(jìn)行用戶面切換判決�����。
[0026]3>macro eNB進(jìn)行用戶面切換判決。若macro eNB決定將UE的用戶面承載(或一部分用戶面承載)轉(zhuǎn)移到目標(biāo)local eNB,則macro eNB生成隨機(jī)數(shù),利用KeNB或是最新的NH (如果有)����、隨機(jī)數(shù)以及加密算法計(jì)算出加密密鑰。
[0027]4�、macro eNB向目標(biāo)local eNB發(fā)送用戶面切換請(qǐng)求消息,該消息中除了包含切換準(zhǔn)備相關(guān)信息以外,還包含macro eNB計(jì)算出的加密密鑰�。
[0028]macro eNB也可將生成加密密鑰用的隨機(jī)數(shù)通過一個(gè)單獨(dú)的密鑰通知過程(圖7中未示出)發(fā)送給目標(biāo)local eNB,而不是攜帶于用戶面切換請(qǐng)求消息發(fā)送給目標(biāo)localeNB�。
[0029]5、目標(biāo)local eNB參考該消息,根據(jù)待接納的承載的QoS (Quality of Service,服務(wù)質(zhì)量)信息進(jìn)行接納判決�����,并在允許接納該UE的情況下�����,進(jìn)行底層配置以準(zhǔn)備切換�����。除此以外,目標(biāo)local eNB還將該加密密鑰配置到本地與該UE承載對(duì)應(yīng)的HXP實(shí)體�,用于UE用戶面承載轉(zhuǎn)移成功后,目標(biāo)local eNB和UE之間的承載數(shù)據(jù)的加密�����。
[0030]6�����、目標(biāo)local eNB向macro eNB返回用戶面切換請(qǐng)求響應(yīng)消息,該消息中包含一個(gè)RRC容器(RRC container)��,具體內(nèi)容是觸發(fā)UE進(jìn)行用戶面承載切換的切換命令����。
[0031]7>macro eNB在收到的用戶面切換命令中添加步驟3中使用的隨機(jī)數(shù)以及用于指示是否需要計(jì)算NH的參數(shù)NCC (Next-hop Chaining Counter,下一跳密鑰鏈計(jì)數(shù)器)發(fā)送給UE。UE接收到用戶面切換命令后����,停止在macro eNB進(jìn)行數(shù)據(jù)收發(fā)。
[0032]8,macro eNB將當(dāng)前數(shù)據(jù)發(fā)送的序列號(hào)狀態(tài)信息(如:未成功發(fā)送的下行數(shù)據(jù)包的序列號(hào)��,目標(biāo)local eNB可以分配的第一個(gè)序列號(hào)等)發(fā)送給目標(biāo)local eNB��。
[0033]9��、UE收到用戶面切換命令后,利用其中的隨機(jī)數(shù)和自己保存的KeNB或NH (如果用戶面切換命令中的NCC指示需要使用NH的話)以及加密算法計(jì)算出加密密鑰(UE側(cè)所使用的加密算法與macro eNB所使用的加密算法一致)���,將計(jì)算出的加密密鑰配置到HXP實(shí)體使用,然后向macro eNB返回切換完成消息����。[0034]由于UE的加密密鑰改變了,所以UE還需要重建HXP/RLC/MAC層����。
[0035]通過以上流程實(shí)現(xiàn)了密鑰隔離,以下流程為切換過程的常規(guī)流程�,基本與現(xiàn)有技術(shù)中的切換流程類似,簡(jiǎn)述如下:
10> macro eNB向MME發(fā)起路徑轉(zhuǎn)換請(qǐng)求���,攜帶local eNB為各UE EPS (EvolvedPacket System,演進(jìn)的分組系統(tǒng))承載分配的用戶面?zhèn)鬏攲拥刂泛拖滦蠫TP (GPRS TunnelProtocol, GPRS隧道協(xié)議)隧道標(biāo)識(shí)�����。
[0036]11���、MME請(qǐng)求SGW承載修改請(qǐng)求,將macro eNB發(fā)來的為各UE EPS承載分配的下行用戶面?zhèn)鬏攲拥刂泛虶TP隧道標(biāo)識(shí)通知SGW�。
[0037]12、SGff進(jìn)行路徑轉(zhuǎn)換,將該UE的下行數(shù)據(jù)傳輸路徑轉(zhuǎn)移到目標(biāo)local eNB��。
[0038]13��、SGff向MME返回承載修改響應(yīng)��,攜帶SGW為各UE EPS承載分別分配的用戶面?zhèn)鬏攲拥刂泛蜕闲蠫TP隧道標(biāo)識(shí)����。
[0039]14?15、MME向macro eNB返回路徑轉(zhuǎn)換請(qǐng)求響應(yīng)�,攜帶SGW為各UE EPS承載分別分配的上行用戶面?zhèn)鬏攲拥刂泛虶TP隧道標(biāo)識(shí);macro eNB向目標(biāo)local eNB返回路徑轉(zhuǎn)換請(qǐng)求響應(yīng)��。
[0040]16�、目標(biāo)local eNB向macro eNB發(fā)送終端上下文釋放請(qǐng)求。
[0041]17��、macro eNB釋放為切換UE所分配的相關(guān)資源����。
[0042]進(jìn)一步的,在步驟9中,UE可通過切換完成消息,將從macro eNB接收到的隨機(jī)數(shù)返回給該macro eNB。macro eNB可將該消息中攜帶的隨機(jī)數(shù)與步驟3中所使用的隨機(jī)數(shù)進(jìn)行比較����,若一致�����,則判決該隨機(jī)數(shù)沒有被篡改����,若不一致�����,則認(rèn)為該隨機(jī)數(shù)被篡改���。為了保證通信安全,若macro eNB發(fā)現(xiàn)該隨機(jī)數(shù)已經(jīng)被篡改�����,則可通知RRC層釋放與該UE的RRC連接�。
[0043]進(jìn)一步的,當(dāng)local eNB存在部分RRC功能時(shí)(圖4所示架構(gòu)),前面所述的隨機(jī)數(shù)也被macro eNB和UE用來計(jì)算保護(hù)RRC消息的完整性保護(hù)密鑰�����。所述完整性保護(hù)密鑰由macro eNB 發(fā)給目標(biāo) local eNB�����。
[0044]進(jìn)一步的,當(dāng)macro eNB僅將部分用戶面承載切換到目標(biāo)local eNB,而將部分用戶承載保留在macro eNB時(shí),macro eNB和UE也可以重新計(jì)算macro eNB與UE間的空口會(huì)話密鑰(包括加密密鑰和RRC消息的完整性保護(hù)密鑰)���。macro eNB和UE可按照現(xiàn)有方式����,也可以按照本發(fā)明實(shí)施例的上述方式生成空口會(huì)話密鑰���。如果按照現(xiàn)有方式生成空口會(huì)話密鑰��,則macro eNB和目標(biāo)local eNB所使用的空口會(huì)話密鑰不同��,如果按照本發(fā)明實(shí)施例的上述方式生成空口會(huì)話密鑰���,則macro eNB和目標(biāo)local eNB所使用的空口會(huì)話密鑰相同。其中���,所述現(xiàn)有方式為:利用KeNB或NH�,并采用相應(yīng)算法計(jì)算出加密密鑰和RRC消息完整性保護(hù)密鑰�����;所述本發(fā)明實(shí)施例的方式為:利用KeNB或NH、隨機(jī)數(shù)�����,并采用相應(yīng)算法計(jì)算出加密密鑰和RRC消息完整性保護(hù)密鑰���。
[0045]上述流程中的隨機(jī)數(shù)�����,可用其它能夠唯一區(qū)分local eNB的信息代替,比如�,全球基站標(biāo)識(shí),或是PCI (Physical Cell Identif ier,物理層小區(qū)標(biāo)識(shí))+頻率的組合,等等�。
[0046]實(shí)施例二
本實(shí)施例描述了在承載分離的網(wǎng)絡(luò)中,UE的全部用戶面承載從local eNB切換到macro eNB時(shí)的切換流程�����。如圖8所示,一種可能的用戶切換流程包括如下步驟15:r2,macro eNB對(duì)UE進(jìn)行測(cè)量配置��,UE后繼根據(jù)收到的測(cè)量配置信息執(zhí)行測(cè)量;UE在macro eNB為UE分配的上行資源上����,上報(bào)測(cè)量結(jié)果�����,該測(cè)量結(jié)果將用于輔助macro eNB進(jìn)行用戶面切換判決�����。
[0047]3����、macro eNB進(jìn)行用戶面切換判決�����。若macro eNB決定將UE與local eNB保持的用戶面承載轉(zhuǎn)移到目標(biāo)macro eNB,則macro eNB生成隨機(jī)數(shù),利用KeNB或是最新的NH(如果有)�、隨機(jī)數(shù)以及加密算法計(jì)算出加密密鑰。macro eNB將該加密密鑰配置到本地與該UE承載對(duì)應(yīng)的HXP實(shí)體���,用于UE用戶面切換完成后的macro eNB和UE之間的承載數(shù)據(jù)的加密���。
[0048]4,macro eNB根據(jù)待接納的承載的QoS信息進(jìn)行接納判決,并在允許接納該UE的情況下���,進(jìn)行底層配置以準(zhǔn)備切換���。
[0049]5^6> macro eNB向該local eNB發(fā)送用戶面?zhèn)鬏斨兄瓜?該local eNB根據(jù)該消息中止向該UE傳輸數(shù)據(jù)����,并向macro eNB返回當(dāng)前數(shù)據(jù)發(fā)送的序列號(hào)狀態(tài)信息�����。
[0050]7,macro eNB向UE發(fā)送用戶面切換命令��,其中包含步驟3中使用的隨機(jī)數(shù)以及用于指示是否需要計(jì)算NH的參數(shù)NCC�。UE接收到用戶面切換命令后,停止在源local eNB進(jìn)行數(shù)據(jù)收發(fā)��。
[0051]8�、UE收到用戶面切換命令后�,利用其中的隨機(jī)數(shù)和自己保存的KeNB或NH (如果用戶面切換命令中的NCC指示需要計(jì)算NH的話)以及加密算法計(jì)算出加密密鑰(UE側(cè)所使用的加密算法與macro eNB所使用的加密算法一致),將計(jì)算出的加密密鑰配置到HXP實(shí)體使用����,然后向macro eNB返回切換完成消息。
[0052]由于UE的加密密鑰改變了�,所以UE還需要重建HXP/RLC/MAC層。
[0053]通過以上流程實(shí)現(xiàn)了密鑰隔離��,以下流程為切換過程的常規(guī)流程,基本與現(xiàn)有技術(shù)中的切換流程類似��,簡(jiǎn)述如下:
9>macro eNB 向 MME 發(fā)起路徑轉(zhuǎn)換請(qǐng)求,攜帶 macro eNB 為各 UE EPSCEvolved PacketSystem�,演進(jìn)的分組系統(tǒng))承載分配的下行用戶面?zhèn)鬏攲拥刂泛虶TP隧道標(biāo)識(shí)。
[0054]10�、MME請(qǐng)求SGW承載修改請(qǐng)求,將macro eNB為各UE EPS承載分配的下行用戶面?zhèn)鬏攲拥刂泛虶TP隧道標(biāo)識(shí)通知SGW���。
[0055]IUSGff進(jìn)行路徑轉(zhuǎn)換�����,將該UE的下行數(shù)據(jù)傳輸路徑轉(zhuǎn)移到macro eNB�。
[0056]12�、SGff向MME返回承載修改響應(yīng),攜帶SGW為各UE EPS承載分別分配的上行用戶面?zhèn)鬏攲拥刂泛虶TP隧道標(biāo)識(shí)��。
[0057]13����、MME向macro eNB返回路徑切換響應(yīng),攜帶SGW為各UE EPS承載分別分配的上行用戶面?zhèn)鬏攲拥刂泛虶TP隧道標(biāo)識(shí)����;該消息中攜帶一個(gè)新的密鑰NH和與之對(duì)應(yīng)的計(jì)數(shù)器 NCC��。
[0058]14> macro eNB向源local eNB發(fā)送終端上下文釋放請(qǐng)求���。
[0059]15、源local eNB根據(jù)該請(qǐng)求釋放為切換UE所分配的相關(guān)資源�。
[0060]進(jìn)一步的,在步驟8中,UE可通過切換完成消息,將從macro eNB接收到的隨機(jī)數(shù)返回給該macro eNB。macro eNB可將該消息中攜帶的隨機(jī)數(shù)與步驟3中所使用的隨機(jī)數(shù)進(jìn)行比較����,若一致,則判決該隨機(jī)數(shù)沒有被篡改��,若不一致�,則認(rèn)為該隨機(jī)數(shù)被篡改。為了保證通信安全��,若macro eNB發(fā)現(xiàn)該隨機(jī)數(shù)已經(jīng)被篡改��,則可通知RRC層釋放與該UE的RRC連接���。
[0061]進(jìn)一步的,當(dāng)源local eNB在切換前存在部分RRC功能時(shí)(圖4所示架構(gòu))��,macroeNB需要將這部分控制面承載切換到macro eNB上,并且前面所述的隨機(jī)數(shù)也被macro eNB和UE用來計(jì)算保護(hù)RRC消息的完整性保護(hù)密鑰。所述完整性保護(hù)密鑰由macro eNB發(fā)給目標(biāo) local eNB ο
[0062]上述流程中的隨機(jī)數(shù)�,可用其它能夠唯一區(qū)分local eNB的信息代替,比如����,全球基站標(biāo)識(shí),或是PCI+頻率的組合�,等等。
[0063]實(shí)施例三
本實(shí)施例描述了在承載分離的網(wǎng)絡(luò)中���,UE的用戶面承載從macro eNB下的一個(gè)localeNB切換到另一個(gè)local eNB時(shí)的切換流程���,該流程與實(shí)施例一中UE從macro eNB切換到local eNB的流程類似,額外的過程是macro eNB需要通知源local eNB停止用戶面數(shù)據(jù)轉(zhuǎn)發(fā),并刪除與該UE相關(guān)的密鑰�。
[0064]需要說明的是,以上各實(shí)施例中��,macro eNB在生成空口會(huì)話密鑰時(shí)��,由于目標(biāo)eNB區(qū)別于其它eNB的信息(如macro eNB生成的隨機(jī)數(shù))以及用戶和網(wǎng)絡(luò)側(cè)共享的臨時(shí)密鑰(KeNB或NH)是主要參數(shù)���,因此上述各實(shí)施例以此為例進(jìn)行說明����,在具體實(shí)施時(shí),還可以在此基礎(chǔ)上引入其它參數(shù)參與空口會(huì)話密鑰的計(jì)算�����。
[0065]基于相同的技術(shù)構(gòu)思��,本發(fā)明實(shí)施例還提供了一種應(yīng)用于承載分離(主要是控制面和用戶面分離)網(wǎng)絡(luò)的宏基站設(shè)備���。
[0066]參見圖9�����,為本發(fā)明實(shí)施例提供的基站設(shè)備的結(jié)構(gòu)示意圖�。如圖所示�,該基站設(shè)備可包括:切換判決模塊901、密鑰管理模塊902����、密鑰生成模塊903、第一發(fā)送模塊905����,進(jìn)一步還可包括第二發(fā)送模塊904,其中:
切換判決模塊901�,用于對(duì)用戶設(shè)備進(jìn)行用戶面承載切換判決;
密鑰管理模塊902��,用于在切換判決模塊901判決對(duì)用戶設(shè)備進(jìn)行用戶面承載切換時(shí)�,向密鑰生成模塊903發(fā)送生成密鑰的指示,并向第一發(fā)送模塊905發(fā)送傳輸所述參數(shù)的指示����;其中,所述參數(shù)為所述宏基站生成的隨機(jī)數(shù)��,或者為能夠唯一區(qū)分所述目標(biāo)本地基站的信息�;
密鑰生成模塊903,用于按照密鑰管理模塊902的指示����,根據(jù)用于將目標(biāo)基站區(qū)別于其它基站的參數(shù),以及所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰�,生成所述目標(biāo)基站與所述用戶設(shè)備通信時(shí)使用的密鑰;
第一發(fā)送模塊905��,用于根據(jù)密鑰管理模塊902的指示�����,將所述參數(shù)發(fā)送給所述用戶設(shè)備�,以使所述用戶設(shè)備根據(jù)所述參數(shù)以及所述用戶設(shè)備與所述宏基站共享的臨時(shí)密鑰�,生成所述用戶設(shè)備與所述目標(biāo)基站通信時(shí)使用的密鑰���。
[0067]進(jìn)一步的���,密鑰管理模塊902還用于:若切換判決模塊901判決將用戶設(shè)備的用戶面承載從所述宏基站切換到目標(biāo)本地基站,或者判決將用戶設(shè)備的用戶面承載從當(dāng)前所在的本地基站切換到目標(biāo)本地基站�����,則向第二發(fā)送模塊904發(fā)送傳輸密鑰的指示�����。相應(yīng)的��,第二發(fā)送模塊904�,用于根據(jù)所述密鑰管理模塊的指示,將密鑰生成模塊903生成的密鑰發(fā)送給所述目標(biāo)本地基站�����。
[0068]進(jìn)一步的���,密鑰管理模塊902還用于:若切換判決模塊901判決將用戶設(shè)備的部分用戶面承載從所述宏基站切換到目標(biāo)本地基站�����,則指示密鑰生成模塊903根據(jù)用于將所述目標(biāo)本地基站區(qū)別于其它基站的參數(shù)��,以及所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰�,生成所述宏基站與所述用戶設(shè)備通信時(shí)使用的密鑰�����?����;蛘?����,密鑰管理模塊902還用于:若切換判決模塊901判決將用戶設(shè)備的部分用戶面承載從所述宏基站切換到目標(biāo)本地基站��,則指示密鑰生成模塊903根據(jù)所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰�,生成所述宏基站與所述用戶設(shè)備通信時(shí)使用的密鑰。
[0069]進(jìn)一步的��,切換判決模塊901還用于進(jìn)行控制面承載判決�。相應(yīng)的���,密鑰管理模塊902具體用于:若切換判決模塊901判決將所述用戶設(shè)備的部分控制面承載從宏基站切換到目標(biāo)本地基站,則指示密鑰生成模塊903生成加密密鑰和完整性保護(hù)密鑰����;或者,密鑰管理模塊901具體用于:若切換判決模塊901判決將用戶設(shè)備的用戶面承載從本地基站切換到宏基站���,且在切換前�,所述本地基站上存在所述用戶設(shè)備的部分控制面承載�,則指示密鑰生成模塊903生成加密密鑰和完整性保護(hù)密鑰。
[0070]具體的����,第二發(fā)送模塊904將生成的密鑰攜帶于用戶面切換請(qǐng)求消息或新定義的消息,發(fā)送給所述目標(biāo)本地基站���。
[0071]具體的�����,第一發(fā)送模塊905將所述參數(shù)攜帶于用戶面切換命令發(fā)送給所述用戶設(shè)備����。
[0072]通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)��,當(dāng)然也可以通過硬件����,但很多情況下前者是更佳的實(shí)施方式���?;谶@樣的理解���,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來����,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中��,包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī)���,個(gè)人計(jì)算機(jī)�����,服務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法�。
[0073]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出�,對(duì)于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下����,還可以做出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也應(yīng)視本發(fā)明的保護(hù)范圍�。
【權(quán)利要求】
1.一種密鑰隔離方法,其特征在于��,該方法包括: 宏基站在判決對(duì)用戶設(shè)備的用戶面承載進(jìn)行切換后�����,根據(jù)用于將目標(biāo)基站區(qū)別于其它基站的參數(shù)���,以及所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰�����,生成所述目標(biāo)基站與所述用戶設(shè)備通信時(shí)使用的密鑰�; 所述宏基站將所述參數(shù)發(fā)送給所述用戶設(shè)備,以使所述用戶設(shè)備根據(jù)所述參數(shù)以及所述用戶設(shè)備與所述宏基站共享的臨時(shí)密鑰���,生成所述用戶設(shè)備與所述目標(biāo)基站通信時(shí)使用的密鑰��。
2.如權(quán)利要求1所述的方法�����,其特征在于�,若所述宏基站判決將用戶設(shè)備的用戶面承載從所述宏基站切換到目標(biāo)本地基站�,或者判決將用戶設(shè)備的用戶面承載從當(dāng)前所在的本地基站切換到目標(biāo)本地基站,則所述宏基站在生成所述密鑰后��,還包括將生成的密鑰發(fā)送到目標(biāo)本地基站的步驟�。
3.如權(quán)利要求2所述的方法��,其特征在于�,若所述宏基站判決將用戶設(shè)備的部分用戶面承載從所述宏基站切換到目標(biāo)本地基站,則該方法還包括: 所述宏基站根據(jù)用于將所述目標(biāo)本地基站區(qū)別于其它基站的參數(shù)�����,以及所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰�����,生成所述宏基站與所述用戶設(shè)備通信時(shí)使用的密鑰;所述用戶設(shè)備還將其生成的密鑰用于與所述宏基站進(jìn)行通信的過程�; 或者,所述宏基站根據(jù)所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰��,生成所述宏基站與所述用戶設(shè)備通信時(shí)使用的密鑰����;所述用戶設(shè)備根據(jù)所述用戶設(shè)備與所述宏基站共享的臨時(shí)密鑰,生成所述用戶設(shè)備站與所述宏基站通信時(shí)使用的密鑰����。
4.如權(quán)利要求2所述的方法,其特征在于�����,若所述宏基站還判決將所述用戶設(shè)備的部分控制面承載切換到目標(biāo)本地基站�����,則所述宏基站所生成的密鑰包括加密密鑰和完整性保護(hù)密鑰���。`
5.如權(quán)利要求2所述的方法�,其特征在于,所述宏基站將生成的密鑰攜帶于用戶面切換請(qǐng)求消息或新定義的消息��,發(fā)送給所述目標(biāo)本地基站����。
6.如權(quán)利要求1所述的方法,其特征在于�,若所述宏基站判決將所述用戶設(shè)備的用戶面承載從本地基站切換到所述宏基站,且在切換前�,所述本地基站上存在所述用戶設(shè)備的部分控制面承載,則所述宏基站還將該部分控制面承載切換到所述宏基站上����,所述宏基站所生成的密鑰包括加密密鑰和完整性保護(hù)密鑰。
7.如權(quán)利要求1-6之一所述的方法�,其特征在于,所述宏基站將所述參數(shù)攜帶于用戶面切換命令發(fā)送給所述用戶設(shè)備���。
8.如權(quán)利要求1-6之一所述的方法,其特征在于���,所述參數(shù)為所述宏基站生成的隨機(jī)數(shù)����,或者為能夠唯一區(qū)分所述宏基站的信息。
9.一種宏基站設(shè)備���,其特征在于��,包括:切換判決模塊���、密鑰管理模塊、密鑰生成模塊和第一發(fā)送模塊���,其中: 切換判決模塊���,用于對(duì)用戶設(shè)備進(jìn)行用戶面承載切換判決; 密鑰管理模塊����,用于在所述切換判決模塊判決對(duì)用戶設(shè)備進(jìn)行用戶面承載切換時(shí),向所述密鑰生成模塊發(fā)送生成密鑰的指示����,并向所述第一發(fā)送模塊發(fā)送傳輸所述參數(shù)的指示; 密鑰生成模塊�,用于按照所述密鑰管理模塊的指示,根據(jù)用于將目標(biāo)基站區(qū)別于其它基站的參數(shù)�,以及所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰���,生成所述目標(biāo)基站與所述用戶設(shè)備通信時(shí)使用的密鑰; 第一發(fā)送模塊�����,用于根據(jù)所述密鑰管理模塊的指示��,將所述參數(shù)發(fā)送給所述用戶設(shè)備�����,以使所述用戶設(shè)備根據(jù)所述參數(shù)以及所述用戶設(shè)備與所述宏基站共享的臨時(shí)密鑰�,生成所述用戶設(shè)備與所述目標(biāo)基站通信時(shí)使用的密鑰。
10.如權(quán)利要求9所述的設(shè)備���,其特征在于�,還包括第二發(fā)送模塊��; 所述密鑰管理模塊還用于��,若所述切換判決模塊判決將用戶設(shè)備的用戶面承載從所述宏基站切換到目標(biāo)本地基站�,或者判決將用戶設(shè)備的用戶面承載從當(dāng)前所在的本地基站切換到目標(biāo)本地基站�,則向第二發(fā)送模塊發(fā)送傳輸密鑰的指示����; 所述第二發(fā)送模塊�����,用于根據(jù)所述密鑰管理模塊的指示����,將所述密鑰生成模塊生成的密鑰發(fā)送給所述目標(biāo)本地基站。
11.如權(quán)利要求10所述的設(shè)備���,其特征在于��,所述密鑰管理模塊還用于��,若所述切換判決模塊判決將用戶設(shè)備的部分用戶面承載從所述宏基站切換到目標(biāo)本地基站���,則指示所述密鑰生成模塊根據(jù)用于將所述目標(biāo)本地基站區(qū)別于其它基站的參數(shù),以及所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰���,生成所述宏基站與所述用戶設(shè)備通信時(shí)使用的密鑰�; 或者���,所述密鑰管理模塊還用于���,若所述切換判決模塊判決將用戶設(shè)備的部分用戶面承載從所述宏基站切換到目標(biāo)本地基站��,則指示所述密鑰生成模塊根據(jù)所述宏基站與所述用戶設(shè)備共享的臨時(shí)密鑰�,生成所述宏基站與所述用戶設(shè)備通信時(shí)使用的密鑰����。
12.如權(quán)利要求10所述的設(shè)備,其特征在于���,所述切換判決模塊還用于��,進(jìn)行控制面承載判決��; 所述密鑰管理模塊具體用于��,若所述切換判決模塊判決將所述用戶設(shè)備的部分控制面承載從宏基站切換到目標(biāo)本地基站�,則指示所述密鑰生成模塊生成加密密鑰和完整性保護(hù)密鑰��;或者 所述密鑰管理模塊具體用于����,若所述切換判決模塊判決將用戶設(shè)備的用戶面承載從本地基站切換到宏基站,且在切換前�����,所述本地基站上存在所述用戶設(shè)備的部分控制面承載��,則指示所述密鑰生成模塊生成加密密鑰和完整性保護(hù)密鑰�。
13.如權(quán)利要求10所述的設(shè)備,其特征在于����,所述第二發(fā)送模塊具體用于,將生成的密鑰攜帶于用戶面切換請(qǐng)求消息或新定義的消息���,發(fā)送給所述目標(biāo)本地基站���。
14.如權(quán)利要求9-13之一所述的設(shè)備,其特征在于����,所述第一發(fā)送模塊具體用于,將所述參數(shù)攜帶于用戶面切換命令發(fā)送給所述用戶設(shè)備����。
15.如權(quán)利要求9-13之一所述的設(shè)備�����,其特征在于��,所述參數(shù)為所述宏基站生成的隨機(jī)數(shù)����,或者為能夠唯一區(qū)分所述目標(biāo)本地基站的信息��。
【文檔編號(hào)】H04W12/04GK103686708SQ201210338194
【公開日】2014年3月26日 申請(qǐng)日期:2012年9月13日 優(yōu)先權(quán)日:2012年9月13日
【發(fā)明者】楊義, 梁靖 申請(qǐng)人:電信科學(xué)技術(shù)研究院