认知无线电系统中的安全管理方法和设备技术方案

本发明专利技术实施例公开了一种认知无线电CR系统中的安全管理方法和设备，涉及无线通信领域，用于解决CR系统中在执行频谱切换后网络侧和终端侧如何进行接入层的安全管理的问题。本发明专利技术中，在执行频谱切换后，网络侧各终端侧按照与终端预先约定的方法，根据各自存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数，确定该终端在频谱切换后的目标小区的接入层密钥，并根据确定的接入层密钥进行接入层的安全操作，从而解决了CR系统中在执行频谱切换后网络侧和终端侧如何进行接入层的安全管理的问题。

【技术实现步骤摘要】
认知无线电系统中的安全管理方法和设备
本专利技术涉及无线通信领域，尤其涉及一种认知无线电系统中的安全管理方法和设备。
技术介绍
无线电通信频谱是一种宝贵的自然资源，随着无线通信技术的飞快发展，频谱资源贫乏的问题日益严重，为了缓解频谱资源紧张的现状，相关的部门和机构对无线通信频谱进行了监测和研究，发现某些频段（如电视频段）在大多数时间内并未使用或者在大多数地域内并未使用，而某些频段则出现了多系统多用户同时竞争的情况，即频谱资源的使用存在不均衡的现象。认知无线电（CognitiveRadio，CR）的概念正是在这种背景下产生的，其基本思想是：在不对授权系统造成干扰的前提下，认知无线电系统可以通过监测当前无线环境的变化来动态机会式地接入空白频段进行通信。当认知无线电系统机会式接入授权系统的空白频谱时，前提是保护授权系统业务不受到CR系统的有害干扰，这就要求：认知无线电系统准确判断出授权系统频段的空白频谱的能力；频谱切换，即CR系统发现授权系统在当前使用的空白频谱（源工作频点）上重新出现，CR系统及时退出当前使用的空白频谱，并将整个CR系统切换到其他的空白频谱（目标工作频点）上恢复业务的过程。传统的无线通信系统设计了安全机制为用户提供安全性，接入网层的安全机制是其中的重要组成部分。传统无线通信系统接入网层的安全机制的密钥管理考虑终端移动性，针对小区间切换设计，实现方法为：基站在决策某个终端需要执行小区切换后，向该终端发送终端专属（UE-Specific）的小区切换命令，小区切换命令中包含UE-Specific的密钥管理参数，该终端接收小区切换命令，并基于UE-Specific的密钥管理参数计算在目标小区的密钥。以LTE系统为例进行说明。目前LTE系统设计了两层安全保护：第一层为演进的通用陆地无线网络（EvolvedUniversalTerrestrialRadioAccessNetwork，E-UTRAN）中的RRC层安全和用户层安全，即接入层（AccessStratum，AS）安全；第二层是EPC中的非接入层（NonAccessStratum，NAS）安全，其密钥体系如图1所示。其中认证和密钥协商体系（AuthenticationandKeyAgreement，AKA）过程生成的KASME作为根密钥，推导出的KeNB是用户终端（UserEquipment，UE）和基站（eNodeB）之间用来计算AS层密钥的临时密钥，用于计算出AS层的密钥KRRCenc、KUPenc与KRRCint，其中KRRCint与KRRCenc分别对RRC消息进行完整性保护与加密，而KUPenc用于对空口的用户数据进行加密。KUPint仅用于中继场景，在此不作描述。LTE系统的密钥体系如图1所示，除了上述密钥外，还包括两个小区切换过程中的中间密钥：NH（NextHop）：由UE和移动性管理实体（MobileManagementEntity，MME）生成的密钥，用来在小区切换过程中提供前转安全性，由MME通过S1信令发送给eNB。：当UE和eNB进行水平或者垂直的密钥生成过程时，会产生。在小区切换过程中，目标eNB需要获得新的KeNB，并根据该KeNB计算新的KRRCenc、KUPenc与KRRCint，以便UE接入目标eNB后，可以继续进行正常的加密和完整性保护。小区切换过程中KeNB的计算方法如图2所示。其中，NH是由MME和UE通过KASME计算得到的，每个NH对应于一个下一跳链接计数值（NexthopChainingCounter，NCC），而一个NCC值也对应于一个KeNB。当初始安全建立时，KeNB是根据KASME得到的，它对应于虚拟的NH和NCC=0，而MME和UE首次计算的NH对应于NCC=1。UE与MME计算KeNB和NH的方法是一致的。初始的KeNB是由MME发送给当前为UE服务的eNB的，UE和eNB可以据此KeNB得到AS层安全密钥KRRCenc、KUPenc与KRRCint来保证彼此通信的安全性。在小区切换的时候，用于得到目标小区所使用的KeNB的基础是。是源eNB根据当前所使用的KeNB或者NH计算得到的：如果是根据KeNB计算得到的，则成为水平密钥计算过程；如果是根据NH计算得到的，则称为垂直密钥计算过程。另外两个计算的输入参数是目标小区的小区物理标识（PhysicalcellID，PCI）和下行载波频率。由于NH是由MME计算并发送给eNB的，因此该过程中的安全性可以通过进一步计算来得到。由于频谱切换发生在基站内部，下面给出目前LTE系统中基站内（intra-eNB）小区切换时的密钥管理过程。发生intra-eNB小区切换时，eNB可利用KeNB或者NH以及目标小区的PCI、下行载波频率（EARFCN-DL）计算，然后在目标小区，直接将作为KeNB来使用。如果源eNB中存在新的{NH，NCC}，则源eNB要利用NH和目标小区的PCI、下行载波频率计算，否则，用KeNB和目标小区的PCI、下行载波频率计算。可见，基站通过小区切换命令通知UE执行小区切换过程，小区切换命令（小区切换命令通过RCC连接重配置（RRCConnectionReconfiguration）消息承载）中包括AS层使用的安全算法、NCC等UE-Specific的参数，UE基于这些参数进行目标小区的密钥管理（密钥计算）。不管发生的是哪种类型的小区切换，UE侧的处理都是一样的。如果UE从小区切换命令中得到的NCC与该UE正在使用的KeNB所对应的NCC的值一样，则UE使用KeNB和目标小区的PCI、下行载波频率计算得到将在目标小区使用的，然后在目标小区，直接将作为KeNB并计算出3个AS层密钥，利用计算出的AS层密钥与目标eNB进行通信。如果UE从小区切换命令中得到的NCC与该UE正在使用的KeNB所对应的NCC的值不一样，则UE首先按照迭代的方式计算NH，每一计算一次NH，其对应的NCC值+1，直到所得到的NH对应的NCC与小区切换命令中的相同，就停止计算。此时，目标eNB和UE就达到了密钥同步，UE使用同步的NH和目标小区的PCI、下行载波频率计算得到将在目标小区使用的，然后在目标小区，直接将作为KeNB并计算出3个AS层密钥，利用计算出的AS层密钥与目标eNB进行通信。可以看出：目前无线通信系统中的密钥管理主要考虑对每个终端单独操作，并保证每个终端的密钥唯一性，没有考虑到CR系统中频谱切换时大量UE同时切换过程的影响。综上，目前无线通信系统中的安全管理主要考虑对每个终端单独操作，而小区切换是UE-Specific的处理过程，小区切换命令中会携带UE-Specific的密钥管理参数。现有的安全管理没有考虑到CR系统频谱切换过程对大量终端的影响，在执行频谱切换后网络侧和终端侧如何进行接入层的安全管理，目前还没有具体的实现方案。
技术实现思路
本专利技术实施例提供一种认知无线电系统中的安全管理方法和设备，用于解决CR系统中在执行频谱切换后网络侧和终端侧如何进行接入层的安全管理的问题。一种认知无线电CR系统中的安全管理方法，该方法包括：网络设备在确定需要执行频谱切换后，发送承载有频谱切换命令的广播消息，以通知终端根据所述频谱切换命令执行频谱切本文档来自技高网...

【技术保护点】
一种认知无线电CR系统中的安全管理方法，其特征在于，该方法包括：网络设备在确定需要执行频谱切换后，发送承载有频谱切换命令的广播消息，以通知终端根据所述频谱切换命令执行频谱切换过程；网络设备执行频谱切换过程；网络设备按照与终端预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥，并根据确定的接入层密钥对所述终端进行接入层的安全操作。

【技术特征摘要】
1.一种认知无线电CR系统中的安全管理方法，其特征在于，该方法包括：网络设备在确定需要执行频谱切换后，发送承载有频谱切换命令的广播消息，以通知终端根据所述频谱切换命令执行频谱切换过程；网络设备执行频谱切换过程；网络设备按照与终端预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥，并根据确定的接入层密钥对所述终端进行接入层的安全操作。2.如权利要求1所述的方法，其特征在于，所述网络设备按照与终端预先约定的方法，根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥，具体包括：网络设备将所述终端在频谱切换前的源小区的接入层密钥，确定为所述终端在频谱切换后的目标小区的接入层密钥。3.如权利要求1所述的方法，其特征在于，所述网络设备按照与终端预先约定的方法，根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥，具体包括：网络设备根据存储的所述终端在频谱切换前的源小区的密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥。4.如权利要求3所述的方法，其特征在于，对于长期演进LTE系统，所述密钥管理参数包括用于计算接入层密钥的临时密钥KeNB；所述网络设备根据存储的所述终端在频谱切换前的源小区的密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥，具体包括：网络设备根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定，确定所述终端在频谱切换后的目标小区的KeNB为该，根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥；其中是用于确定KeNB的基础参数。5.如权利要求3所述的方法，其特征在于，对于LTE系统，在网络设备确定需要执行频谱切换后、且发送承载有频谱切换命令的广播消息之前，进一步包括：网络设备向所述终端发送小区切换命令，该小区切换命令中包含的目标小区信息为频谱切换后的目标小区的信息，该小区切换命令中还包含所述终端在频谱切换前的源小区的下一跳链接计数NCC参数值；所述终端存储的NCC参数值与该网络设备存储的该终端的NCC参数值不一致；所述网络设备根据存储的所述终端在频谱切换前的源小区的密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥，具体包括：网络设备若接收到所述终端发送的小区切换完成消息，则根据存储的所述终端在频谱切换前的源小区的NCC参数值对应的下一跳NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定，确定所述终端在频谱切换后的目标小区的KeNB为该，根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥；网络设备若未接收到所述终端发送的小区切换完成消息，则根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的PCI确定，确定所述终端在频谱切换后的目标小区的KeNB为该，根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥；其中KeNB是用于计算接入层密钥的临时密钥，是用于确定KeNB的基础参数。6.如权利要求3所述的方法，其特征在于，所述网络设备根据存储的所述终端在频谱切换前的源小区的密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥，具体包括：若所述终端为第一类终端，则网络设备根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值，确定所述终端在频谱切换后的目标小区的接入层密钥；若所述终端为第二类终端，则网络设备根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数值，确定所述终端在频谱切换后的目标小区的接入层密钥；其中，第一类终端所存储的第一密钥管理参数值与网络设备存储的该第一类终端的第一密钥管理参数值一致；第二类终端所存储的第一密钥管理参数值与网络设备存储的该第二类终端的第一密钥管理参数值不一致。7.如权利要求6所述的方法，其特征在于，所述频谱切换命令中携带第一类终端或第二类终端的标识信息。8.如权利要求6所述的方法，其特征在于，对于LTE系统，第一密钥管理参数值为NCC参数值，第二密钥管理参数值为用于计算接入层密钥的临时密钥KeNB。9.如权利要求8所述的方法，其特征在于，所述网络设备根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值，确定所述终端在频谱切换后的目标小区的接入层密钥，具体包括：网络设备根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定，确定所述终端在频谱切换后的目标小区的KeNB为该，根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥；其中是用于确定KeNB的基础参数。10.如权利要求8所述的方法，其特征在于，网络设备根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数值，确定所述终端在频谱切换后的目标小区的接入层密钥，具体包括：网络设备根据存储的所述终端在频谱切换前的源小区的NCC参数值对应的下一跳NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定，确定所述终端在频谱切换后的目标小区的KeNB为该，根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥；其中是用于确定KeNB的基础参数。11.如权利要求2所述的方法，其特征在于，对于LTE系统，所述接入层密钥包括无线资源控制RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint；或者，对于时分同步码分多址TD-SCDMA和宽带码分多址接入WCDMA系统，所述接入层密钥包括加密密钥CK和完整性保护密钥IK。12.如权利要求3-10中任一所述的方法，其特征在于，对于LTE系统，所述接入层密钥包括RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint。13.一种认知无线电CR系统中的安全管理方法，其特征在于，该方法包括：终端接收网络设备发送的承载有频谱切换命令的广播消息，根据所述频谱切换命令执行频谱切换过程；终端按照与网络设备预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥，并根据确定的接入层密钥进行接入层的安全操作。14.如权利要求13所述的方法，其特征在于，所述终端按照与网络设备预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥，具体包括：终端将该终端在频谱切换前的源小区的接入层密钥，确定为该终端在频谱切换后的目标小区的接入层密钥。15.如权利要求13所述的方法，其特征在于，所述终端按照与网络设备预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥，具体包括：终端根据存储的该终端在频谱切换前的源小区的密钥管理参数，确定该终端在频谱切换后的目标小区的接入层密钥。16.如权利要求15所述的方法，其特征在于，对于长期演进LTE系统，所述密钥管理参数包括用于计算接入层密钥的临时密钥KeNB；所述终端根据存储的该终端在频谱切换前的源小区的密钥管理参数，确定该终端在频谱切换后的目标小区的接入层密钥，具体包括：终端根据存储的该终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定，确定该终端在频谱切换后的目标小区的KeNB为该，根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥；其中是用于确定KeNB的基础参数。17.如权利要求15所述的方法，其特征在于，所述终端根据存储的该终端在频谱切换前的源小区的密钥管理参数，确定该终端在频谱切换后的目标小区的接入层密钥，具体包括：若所述终端为第一类终端，则该终端根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值，确定所述终端在频谱切换后的目标小区的接入层密钥；若所述终端为第二类终端，则该终端根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数及N值，确定该终端在频谱切换后的目标小区的第一密钥管理参数，根据所述终端在频谱切换前的源小区的第一密钥管理参数及所述终端在频谱切换后的目标小区的第一密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥；所述N值为网络设备存储的终端的第一密钥管理参数值与该终端所存储的第一密钥管理参数值的差异值；其中，第一类终端所存储的第一密钥管理参数值与网络设备存储的该第一类终端的第一密钥管理参数值一致；第二类终端所存储的第一密钥管理参数值与网络设备存储的该第二类终端的第一密钥管理参数值不一致。18.如权利要求17所述的方法，其特征在于，进一步包括：所述终端根据所述频谱切换命令中携带的第一类终端或第二类终端的标识信息，确定本终端是第一类或第二类终端。19.如权利要求17所述的方法，其特征在于，对于LTE系统，第一密钥管理参数值为NCC参数值，第二密钥管理参数值为用于计算接入层密钥的临时密钥KeNB，N的取值为1。20.如权利要求19所述的方法，其特征在于，所述终端根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值，确定所述终端在频谱切换后的目标小区的接入层密钥，具体包括：终端根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定，确定所述终端在频谱切换后的目标小区的KeNB为该，根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥；其中是用于确定KeNB的基础参数。21.如权利要求19所述的方法，其特征在于，所述终端根据所述终端在频谱切换前的源小区的第一密钥管理参数及所述终端在频谱切换后的目标小区的第一密钥管理参数，确定所述终端在频谱切换后的目标小区的接入层密钥，具体包括：终端按照迭代的方式计算下一跳NH参数值，每计算一次NH参数值，将所述终端在频谱切换前的源小区的NCC参数值加1，直到所得到的NH参数值对应的NCC参数值与所述终端在频谱切换后的目标小区的NCC相同；根据最后一次计算得到的NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定，确定所述终端在频谱切换后的目标小区的KeNB为该，根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥；其中是用于确定KeNB的基础参数。22.如权利要求14所述的方法，其特征在于，对于LTE...

【专利技术属性】
技术研发人员：白文岭，杨义，蒋成钢，李媛媛，杨宇，胡金玲，
申请(专利权)人：电信科学技术研究院，
类型：发明
国别省市：北京;11