一种双连接模式下的密钥处理方法和设备技术

本发明专利技术实施例公开了一种双连接模式下的密钥处理方法和设备，保证了UE在双连接模式下的通信安全。本发明专利技术实施例的方法包括：在与终端均存在通信连接的第一基站和第二基站中，第二基站接收第一基站发送的第一请求信息，该第一请求信息用于请求所述第二基站生成与终端进行通信所使用的密钥；第二基站基于所述第一请求信息中携带的安全密钥，生成与终端进行通信所使用的密钥。

【技术实现步骤摘要】
【国外来华专利技术】一种双连接模式下的密钥处理方法和设备
本专利技术涉及通信
，特别涉及一种双连接模式下的密钥处理方法和设备。
技术介绍
目前，为了提高无线网络的传输速率，增强用户体验，第三代合作伙伴计划(The3rd Generation Partnership, 3GPP)组织正在讨论成了新的研究项目，即小小区网络增强。如图1所示，图中Fl为低频段载波，其特点是覆盖范围大，但是资源比较稀缺；而F2为高频段载波，其特点是覆盖范围小，但是资源比较丰富。在传统的2G/3G网络中，一般使用较低频段载波，例如，采用频率为Fl的低频段载波为用户提供服务。随着智能手机的普及，用户对无线传输速率提出了更高的要求。为了满足用户的需求，需要逐步使用资源丰富的高频段载波来为用户提供服务。由于高频段载波具有覆盖范围小的特点，通常把这种使用高频段载波进行一定的小覆盖的基站称为小型基站(或微基站)，该小型基站覆盖的范围一般称之为小小区(Small Cell)。小小区增强的主要思想是用户设备(User Equipment, UE)可以通过同时聚合来自宏小区和小小区的载波，以得到更多的可以利用的无线资源，从而提高数据传输的速率，如图2A和图2B所示的UE在双连接模式下的数据调度和传输方法，图中Macro Cell为宏基站的小区，Small Cell为微基站的小区，一般地，将宏基站选择为主基站(Master eNB, MeNB),而将微基站选择为辅基站(Secondary eNB, SeNB)0双连接模式下，一种可能的方向是宏基站作为主要的控制站点，负责UE的移动性管理，数据包的分流等。UE与MeNB和SeNB进行双连接工作的模式主要分为以下两种情况:情况1:UE与MeNB以及SeNB通信过程中，MeNB总是可以提供可靠的覆盖，即MeNB总是可以为UE提供可靠的信号质量；情况2:UE与MeNB以及SeNB通信过程中，MeNB不能保证总是可以提供可靠的覆盖，即MeNB不能总是为UE提供可靠的信号质量。由于UE与基站之间需要使用密钥进行数据传输，如控制面消息加密密钥、完整性保护密钥以及用户面数据加密密钥。现有长期演进(Long Term Evolution，LTE)系统中产生安全密钥ΚεΝΒ的过程参见图3所示，包括:1、UE在接入网络的过程中，移动性管理实体(Mobility Management Entity,MME)和UE首先分别基于自身所存储的UE的安全上下文信息，如图3中的密钥K (即Key)，加密密钥(Cipher Key，CK)，完整性保护密钥(Integrity Key，IK)等参数产生接入安全管理实体密钥Kasme。2、UE和MME基于产生的KASME，进一步生成安全密钥KeNB。具体的，本步骤中，UE和MME基于Kasme推导出KeNB的过程如下:首先，确定如下参数:-FC=Oxll ；-PO=上行非接入层COUNT，这里COUNT值由数据包的超帧号和序列号组成；-LO=上行非接入层COUNT值的长度。然后，将上述确定的参数组合成一个输入链S ；最后，根据HMAC-SHA-256 密钥衍生函数计算得到:KeNB=HMAC-SHA-256 (Kasme, S)，其中，密钥衍生函数由IETF RFC2104(1997)和IS0/IEC10118_3:2004标准规定。在UE和MME都生成KeNB之后，MME将会进一步将KeNB发生给eNB。进一步，UE和eNB基于K.生成数据传输时所使用的密钥，如控制面消息加密密钥、完整性保护密钥、以及用户面数据加密密钥。具体过程如下:首先，确定如下参数:-FC=Ox 15 ；-PO=算法类似识别值(根据表1确定)；-LO=算法类似识别值的长度；-Pl=算法标识符；-LI=算法标识符长度。表1:算法类似识别值本文档来自技高网...

【技术保护点】
一种双连接模式下的密钥处理方法，其特征在于，该方法包括：在与终端均存在通信连接的第一基站和第二基站中，所述第二基站接收所述第一基站发送的第一请求信息，所述第一请求信息用于请求所述第二基站生成与所述终端进行通信所使用的密钥；所述第二基站基于所述第一请求信息中携带的安全密钥，生成与所述终端进行通信所使用的密钥。

【技术特征摘要】
【国外来华专利技术】1.一种双连接模式下的密钥处理方法，其特征在于，该方法包括: 在与终端均存在通信连接的第一基站和第二基站中，所述第二基站接收所述第一基站发送的第一请求信息，所述第一请求信息用于请求所述第二基站生成与所述终端进行通信所使用的密钥； 所述第二基站基于所述第一请求信息中携带的安全密钥，生成与所述终端进行通信所使用的密钥。2.如权利要求1所述的方法，其特征在于，所述第二基站基于所述第一请求信息中携带的安全密钥，生成与所述终端进行通信所使用的密钥，具体包括: 所述第二基站根据所述第一请求信息中携带的所述第一基站当前使用的第一安全密钥，生成与所述终端进行通信所使用的密钥；或者， 所述第二基站根据所述第一请求信息中携带的所述第一基站当前使用的第一安全密钥，生成与所述第一安全密钥不同的安全密钥，并根据生成的安全密钥，生成与所述终端进行通信所使用的密钥。3.如权利要求2所述的方法，其特征在于，所述第二基站生成与所述第一安全密钥不同的安全密钥，具体包括: 所述第二基站至少确定一个该第二基站覆盖的小区的物理小区标识PCI和频率信息，并根据确定的小区的PCI和频率信息以及所述第一安全密钥，生成与所述第一安全密钥不同的安全密钥。4.如权利要求1所述的方法，其特征在于，所述第二基站基于所述第一请求信息中携带的安全密钥，生成与所述终端进行通信所使用的密钥，具体包括: 所述第二基站根据所述第一请求信息中携带的移动管理实体MME为所述第二基站产生的第二安全密钥，生成与所述终端进行通信所使用的密钥。5.如权利要求1~4任一项所述的方法，其特征在于，所述方法还包括: 所述第二基站在接收到所述第一基站发送的所述第一请求信息后，向所述终端发送第二请求信息，所述第二请求信息用于请求所述终端生成与所述第二基站进行通信所使用的密钥。6.如权利要求5所述的方法，其特征在于，所述第二请求信息中包含用于产生所述第二基站的安全密钥的小区的PCI和频率信息；或者，所述第二请求信息中包含用于指示所述终端为所述第二基站产生第二安全密钥的指示信息。7.如权利要求1~6任一所述的方法,其特征在于,若所述第一基站与所述第二基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥，则所述方法还包括: 所述第二基站接收所述第一基站发送的第一密钥刷新指示信息，其中，所述第一密钥刷新指示信息用于指示所述第二基站刷新与所述终端进行通信所使用的密钥； 所述第二基站根据第一密钥刷新指示信息中携带的信息生成新的安全密钥，并根据所述新的安全密钥生成与所述终端进行通信所使用的密钥。8.如权利要求1~6任一所述的方法,其特征在于，若所述第一基站与所述第二基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥，则所述方法还包括: 所述第二基站在确定需要进行密钥刷新后，向所述第一基站发送第一密钥刷新指示信息，所述第一密钥刷新指示信息用于指示所述第一基站刷新与所述终端进行通信所使用的密钥； 所述第二基站在接收到所述第一基站返回的用于通知本次密钥刷新已完成的第一反馈信息，且所述第二基站完成本地密钥刷新后，使用刷新后的密钥与所述终端的通信。9.如权利要求7或8所述的方法，其特征在于，所述方法还包括: 所述第二基站在确定需要进行密钥刷新后，向所述终端发送第二密钥刷新指示信息，并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后，使用刷新后的密钥与所述终端进行通信；或者， 所述第二基站在接收到所述第一基站发送的第一密钥刷新指示信息后，向所述终端发送第二密钥刷新指示信息，并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后，通知所述第一基站所述终端已完成本次密钥刷新； 其中，所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站及所述第二基站进行通信所使用的密钥。10.如权 利要求7~9任一所述的方法，其特征在于，所述第一密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息以及本次密钥刷新使用的下一跳NH值；或者，用于指示使用所述终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息以及本次密钥刷新使用的NH值。11.如权利要求1~6任一所述的方法,其特征在于,若所述第一基站与所述第二基站基于不同的安全密钥生成与所述终端进行通信所使用的密钥，则所述方法还包括: 所述第二基站在确定需要进行本地密钥刷新后，向所述第一基站发送第一指示信息，所述第一指示信息用于指示暂停向所述第二基站转发所述终端的数据；或者， 所述第二基站在确定需要进行本地密钥更新后，向所述第一基站发送第一指示信息，所述第一指示信息用于指示暂停向所述第二基站转发所述终端的数据。12.如权利要求1~6任一所述的方法,其特征在于,若所述第一基站与所述第二基站基于不同的安全密钥生成与所述终端进行通信所使用的密钥，则所述方法还包括: 所述第二基站接收所述第一基站发送的第一指示信息，所述第一指示信息用于指示暂停与所述终端相关的数据传输； 所述第二基站暂停与所述终端相关的数据传输，并在接收到所述第一基站发送的用于指示恢复与所述终端相关的数据传输的指示后，恢复与所述终端相关的数据传输。13.如权利要求11或12所述的方法，其特征在于，所述方法还包括: 所述第二基站在确定需要进行本地密钥刷新后，向所述终端发送第二密钥刷新指示信息，并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后，通知所述第一基站恢复与所述终端相关的数据传输，其中，所述第二密钥刷新指示信息用于指示所述终端刷新与所述第二基站通信的密钥；或者， 所述第二基站在接收到所述第一基站发送的第一指示信息后，向所述终端发送第二密钥刷新指示信息，并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后，通知所述第一基站所述终端已完成本次密钥刷新，其中，所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站通信的密钥；或者， 所述第二基站在确定需要进行本地密钥更新后，向所述终端发送第二密钥更新指示信息，并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后，通知所述第一基站恢复与所述终端相关的数据传输，其中，所述第二密钥更新指示信息用于指示所述终端更新与所述第二基站通信的密钥；或者， 所述第二基站在接收到所述第一基站发送的第一指示信息后，向所述终端发送第二密钥更新指示信息，并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后，通知所述第一基站所述终端已完成本次密钥更新，其中，所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站通信的密钥。14.如权利要求9或12所述的方法，其特征在于，所述第二密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的NH值；或者，用于指示使用所述终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值。15.如权利要求14所述的方法，其特征在于，所述第二密钥刷新指示信息进一步还包括所述第一基站或所述第二基站为所述终端进行随机接入所指定的小区的信息。16.如权利要求1~6任一所述的方法,其特征在于,若所述第一基站与所述第二基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥，则所述方法还包括: 所述第二基站接收所述第一基站发送的第一密钥更新指示信息，所述第一密钥更新指示信息中携带所述第一基站从MME处获取新的安全密钥； 所述第二基站根据所述新的安全密钥，更新与所述终端进行通信所使用的密钥； 所述第二基站在完成本次密钥更新之后，向所述第一基站返回用于通知本次密钥更新已完成的第一回复信息。17.如权利要求16所述的方法，其特征在于，所述方法还包括: 所述第二基站在接收到所述第一基站发送的第一密钥更新指示信息后，向所述终端发送第二密钥更新指示信息，并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后，通知所述第一基站所述终端已完成本次密钥更新，其中，所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站及所述第二基站进行通信所使用的密钥。18.如权利要求7~9、11、16及17中任一所述的方法，其特征在于，所述方法还包括: 所述第二基站在确定需要进行密钥刷新或接收到所述第一基站发送的第一密钥刷新指示信息时，暂停与所述终端相关的数据传输；以及所述第二基站在确定自身以及所述终端均完成本地密钥刷新后，使用刷新后的密钥恢复与所述终端相关的数据传输；或者， 所述第二基站在确定需要进行密钥更新或接收到所述第一基站发送的第一密钥更新指示信息时，暂停与所述终端相关的数据传输；以及所述第二基站在确定自身以及所述终端均完成本地密钥更新后，使用更新后的密钥恢复与所述终端相关的数据传输。19.一种双连接模式下的密钥处理方法，其特征在于，该方法包括: 与第一基站和第二基站均存在通信连接的终端接收所述第一基站或所述第二基站发送的第二请求信息，其中，所述第二请求信息用于请求所述终端生成与所述第二基站进行通信所使用的密钥； 所述终端根据所述第二请求信息，生成与所述第二基站进行通信所使用的密钥。20.如权利要求19所述的方法，其特征在于，所述终端根据所述第二请求信息，生成与所述第二基站进行通信所使用的密钥，具体包括: 所述终端根据所述第二基站使用的安全算法以及自身为所述第一基站产生的第一安全密钥，生成与所述第二基站进行通信所使用的密钥；或者， 所述终端根据所述第二基站使用的安全算法以及所述第二请求信息中包含的用于产生所述第二基站的安全密钥的小区的PCI和频率信息，生成与所述第二基站进行通信所使用的密钥；或者， 所述终端根据保存的用于产生所述第二基站的第二安全密钥的安全上下文信息，产生所述第二安全密钥，并根据所述第二安全密钥生成与所述第二基站进行通信所使用的密钥。21.如权利要求20所述的方法，其特征在于，所述终端根据保存的用于产生所述第二基站的第二安全密钥的安全上下文信息，产生所述第二安全密钥，具体包括: 所述终端接收MME指示的用于生成所述第二安全密钥所使用的安全上下文信息的标识，并根据保存的所述标识对应的安全上下文信息，产生所述第二安全密钥。22.如权利要求19或20所述的方法，其特征在于，若所述第二请求信息中携带用于产生所述第二基站的安全密钥的小区的PCI和频率信息，则所述方法还包括: 所述终端在所述第二请求信息中包含的用于产生所述第二基站的安全密钥的PCI和频率信息对应的小区上执行随机接入，以接入到所述第二基站； 或者， 所述终端在所述第二请求信息中包含的所述第一基站或所述第二基站为所述终端进行随机接入所指定的小区上执行随机接入，以接入到所述第二基站。23.如权利要求19或20所述的方法，其特征在于，所述方法还包括: 所述终端接收所述第一基站或所述第二基站发送的第二密钥刷新指示信息，所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站和/或所述第二基站进行通信所使用的密钥； 所述终端根据所述第二密钥刷新指示信息中携带的信息生成新的安全密钥，并基于所述新的安全密钥生成与所述第一基站和/或所述第二基站进行通信所使用的密钥； 所述终端向所述第一基站或所述第二基站返回用于通知本次密钥刷新已完成的第二反馈信息。24.如权利要求23所述的方法，其特征在于，所述第二密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的NH值；或者，用于指示使用所述终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值。25.如权利要求23或24所述的方法，其特征在于，所述第二密钥刷新指示信息中还包括所述第一基站或所述第二基站为所述终端执行随机接入所指定的小区的信息，则所述终端在所指示的小区上进行随机接入；或者， 所述第二密钥刷新指示信息指示所述终端不执行随机接入，则所述终端不进行随机接入。26.如权利要求19或20所述的方法，其特征在于，所述方法还包括: 所述终端接收所述第一基站或所述第二基站发送的第二密钥更新指示信息，所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站及所述第二基站进行通信所使用的密钥；所述终端根据保存的安全上下文信息生成新的安全密钥，并根据所述新的安全密钥生成与所述第一基站及所述第二基站进行通信所使用的密钥； 所述终端向所述第一基站或所述第二基站返回用于通知本次密钥更新已完成的第二回复信息。27.一种基站，其特征在于，该基站包括: 接收模块，用于接收第一基站发送的第一请求信息，所述第一请求信息用于请求本基站生成与所述终端进行通信所使用的密钥； 处理模块，用于基于所述第一请求信息中携带的安全密钥，生成与所述终端进行通信所使用的密钥； 其中，本基站与所述第一基站均与所述终端存在通信连接。28.如权利要求27所述的基站，其特征在于，所述处理模块具体用于: 根据所述第一请求信息中携带的所述第一基站当前使用的第一安全密钥，生成与所述终端进行通信所使用的密钥；或者， 根据所述第一请求信息中携带的所述第一基站当前使用的第一安全密钥，生成与所述第一安全密钥不同的安全密钥，并根据生成的安全密钥，生成与所述终端进行通信所使用的密钥。29.如权利要求28所述的基站，其特征在于，所述处理模块生成与所述第一安全密钥不同的安全密钥，具体包括: 至少确定一个该第二基站覆盖的小区的物理小区标识PCI和频率信息，并根据确定的小区的PCI和频率信息以及所述第一安全密钥，生成与所述第一安全密钥不同的安全密钥。30.如权利要求27所述的基站，其特征在于，所述处理模块具体用于: 根据所述第一请求信息中携带的MME为本基站产生的第二安全密钥，生成与所述终端进行通信所使用的密钥。31.如权利要求27~30任一项所述的基站，其特征在于，所述处理模块还用于: 在所述接收模块接收到所述第一基站发送的所述第一请求信息后，向所述终端发送第二请求信息，所述第二请求信息用于请求所述终端生成与本第二基站进行通信所使用的密钥。32.如权利要求27~31任一项所述的基站,其特征在于,若所述第一基站与本基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥，则: 所述接收模块还用于接收所述第一基站发送的第一密钥刷新指示信息，所述第一密钥刷新指示信息用于指示本基站刷新与所述终端进行通信所使用的密钥； 所述处理模块还用于根据第一密钥刷新指示信息中携带的信息生成新的安全密钥，并根据所述新的安全密钥生成与所述终端进行通信所使用的密钥。33.如权利要求27~31任一项所述的基站,其特征在于,若所述第一基站与本基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥，所述处理模块还用于: 在确定需要进行密钥刷新后，向所述第一基站发送第一密钥刷新指示信息，所述第一密钥刷新指示信息用于指示所述第一基站刷新与所述终端进行通信所使用的密钥；以及在接收到所述第一基站返回的用于通知本次密钥刷新已完成的第一反馈信息，且自身已完成本地密钥刷新后，使用刷新后的密钥与所述终端的通信。34.如权利要求32或33所述的基站，其特征在于，所述处理模块还用于: 在确定需要进行密钥刷新后，向所述终端发送第二密钥刷新指示信息，并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后，使用刷新后的密钥与所述终端进行通信；或者， 在接收到所述第一基站发送的第一密钥刷新指示信息后，向所述终端发送第二密钥刷新指示信息，并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后，通知所述第一基站所述终端已完成本次密钥刷新； 其中，所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站及本基站进行通信所使用的密钥。35.如权利要求27~31任一项所述的基站,其特征在于,若所述第一基站与本基站基于不同的安全密钥生成与所述终端进行通信所使用的密钥，所述处理模块还用于: 在确定需要进行本地密钥刷新后，向所述第一基站发送第一指示信息，所述第一指示信息用于指示暂停向本基站转发所述终端的数据；或者， 在确定需要进行本地密钥更新后，向所述第一基站发送第一指示信息，所述第一指示信息用于指示暂停向本基站转发所述终端的数据。36.如权利要求27~31任一项所述的基站,其特征在于,所述第一基站与本基站基于不同的安全密...

【专利技术属性】
技术研发人员：常俊仁，蔺波，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44