实现接入层安全的方法及用户设备和节点技术

本发明专利技术公开了一种实现接入层安全的方法及用户设备和节点，包括执行用户设备UE与初始接入节点之间的端到端无线接入链路接入层安全；以及执行初始接入节点和网关节点之间的端到端无线回程链路接入层安全；其中，UE经过至少两段无线空中接口与核心网通信的通信路径；该通信路径中，至少包括UE，初始接入节点，网关节点；当通信路径包括两段无线空中接口时，UE与初始接入节点之间通过无线接入链路通信，初始接入节点与网关节点之间通过无线回程链路通信。一方面，无线回程链路安全只在网关节点与初始接入节点之间端到端执行，很好地保证了用户面数据在无线回程链路中传输时的安全；另一方面，无线接入链路安全在UE和初始接入节点之间端到端执行，在保证了无线接入链路传输安全的基础上，不需要对使用LTE技术的UE做任何修改，保证了后向兼容性。

【技术实现步骤摘要】

本专利技术涉及移动通信技术，尤指一种实现接入层安全的方法及用户设备和节点。
技术介绍
蜂窝无线移动通信系统始于20世纪80年代，从一开始满足人类的语音通信需求发展到了后来在语音业务的基础上逐步满足人类的基础数据通信需求。传统蜂窝无线通信系统由无线网络运营商部署并运营，网络的建设经过运营商的缜密规划，图1为传统蜂窝无线接入网络的网络拓扑示意图，如图1所示，各个宏基站(MNB，macro(e)NB)的选址由运营商规划确定，每个宏基站可以达到几百米甚至几千米的无线覆盖，从而可以实现运营商运营区域内的近乎连续无缝覆盖。随着移动互联时代的到来，新的移动应用需求，尤其是那些要求高质量、高速率、低延时的移动应用需求出现了爆发式的增长。根据行业预测，一方面，在未来10年内，无线移动业务量将出现上千倍的增长，传统实现长距离宏覆盖的无线通信系统无法实现如此巨大的容量需求；另一方面，业界通过对用户通信行为和习惯的统计发现，大部分高数据流量的移动业务集中出现在室内环境和热点地区，比如商场，学校，用户家里，大型演出、集会场所等，而室内环境和热点地区具有区域分布广而散、单区域范围小、用户集中等特点，也就是说，传统蜂窝无线网络的广覆盖、均匀覆盖、固定覆盖特点使得其无法很好的适应这种小区域范围内业务集中出现的特性。此外，传统蜂窝无线网络由于各种各样的原因，比如建筑物的阻挡等会造成蜂窝无线信号在室内环境不如室外环境，这也使得传统蜂窝无线网络无法满足将来室内环境下的大数据容量需求。为了解决上述问题，一种无线接入网节点(SRAN-node，SmallRadioAccessNetworknode，本文中可简称为小节点)应运而生。从概念上讲，SRAN-node是指发射功率比传统宏基站的发射功率低、覆盖范围也比传统宏基站的覆盖范围小的无线接入网节点，因此，SRAN-node也可以称为低功率节点(LPN，LowerPowerNode)，比如可以是微基站(PicoNode)、家庭基站(Femto/Home(e)NB)、无线中继接入设备(Relay)，以及其他可能出现的任何发射功率远低于传统宏基站的可以通过无线通信链路接入网络的接入网设备。而为了满足未来无线通信系统的巨大容量提升需求，尤其是为了适应特定区域内的集中式大数据量需求，业界预测可以在特定区域内增加SRAN-node的部署密度以实现网络容量的增长，满足用户需求。业界将这种在特定区域内密集部署的网络称之为超密集网络(UDN，UltraDenseNetwork)。图2为在传统蜂窝无线接入网络的特定区域内部署UDN的示意图，如图2所示，在大厦200内、在体育场210内、在热点230区域均部署了大量SRAN-node。UDN可以提高网络容量，在提高网络容量的同时，未来的网络也不希望增加网络的资本支出(CAPEX，CapitalExpenditure)和运营支出(OPEX，OperatingExpense)，这就意味着UDN的部署需要减少人为的计划、优化和管理，可以根据网络拓扑、网络负荷、业务需求等在室内、室外的热点区域或者大业务量区域完成灵活快速部署，并实现自配置、自优化和自治愈。为了实现所有这些目标，业界普遍认为UDN中仅有部分或者少量SRAN-node可以通过有线连接(wiredbackhaul)如光纤、电缆等接入核心网设备；而其他SRAN-node则需要支持无线回程(wirelessbackhaul)，利用SRAN-node之间密集短距离部署的特性，通过SRAN-node之间的无线回程链路实现SRAN-node之间的互联互通，以及通过无线回程链路经过两个SRAN-node之间的无线连接(一跳)或者依次经过多个SRAN-node之间的无线连接(多跳)接入核心网设备。如此，在UDN网络中，用户设备(UE)的通信数据很有可能需要经过两段甚至两段以上的空口传输，两段空口包括UE与UE所接入的SRAN-node(设记为SRAN-node-x)之间的空口无线接入链路(RAL，RadioAccessLink)，以及SRAN-node-x与有有线回程的SRAN-node(设记为SRAN-node-z)之间的空口无线回程链路。超过两段空口的情况，以三段空口为例，包括RAL，SRAN-node-x与某个中间节点(设记为SRAN-node-y)之间的空口无线回程链路，以及SRAN-node-y与SRAN-node-z之间的空口无线回程链路。未来UDN中将密集部署大量SRAN-node，而其中只有少部分SRAN-node有有线回程，这使得UE的通信数据很有可能需要经过两段甚至两段以上的空口传输，如何保证这种移动通信系统中的安全性，以保证UE的通信数据在两段甚至两段以上空口传输时的安全性，是亟需解决的技术问题，目前没有具体的实现技术方案。
技术实现思路
为了解决上述技术问题，本专利技术提供一种实现接入层安全的方法及用户设备和节点，能够保证UE的通信数据在两段甚至两段以上空口传输时的安全性。为了达到本专利技术目的，本专利技术提供了一种实现接入层安全的方法，包括：执行用户设备UE与初始接入节点之间的端到端无线接入链路接入层安全；以及执行初始接入节点和网关节点之间的端到端无线回程链路接入层安全；其中，UE经过至少两段无线空中接口与核心网通信的通信路径；所述通信路径中，至少包括UE，初始接入节点，网关节点；当所述通信路径包括两段无线空中接口时，UE与初始接入节点之间通过无线接入链路通信，初始接入节点与网关节点之间通过无线回程链路通信。可选地，当所述通信路径包括大于两段无线空中接口时，所述通信路径中还包括至少一个中间路由节点；当所述通信路径中包括一个中间路由节点时，所述初始接入节点与所述中间路由节点之间通过无线回程链路通信，所述中间路由节点与所述网关节点之间通过无线回程链路通信；当所述通信路径中包括两个或两个以上中间路由节点时，还包括：所述中间路由节点之间通过无线回程链路通信。可选地，所述UE与初始接入节点之间采用无线接入空中接口Uu口；所述初始接入节点与网关节点之间采用无线回程接口Ub口。可选地，所述中间路由节点和所述初始接入节点之间采用无线回程接口Ub口，所述中间路由节点和所述网关节点之间采用无线回程接口Ub口；当所述中间路由节点为两个或两个以上时，所述中间路由节点之间采用无线接入空中接口Ub口。可选地，所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点；所述网关节点为能够通过有线接口接入所述核心网的无线接入小节点或宏基站；所述中间路由节点为实现所述初始接入节点和网关节点之间的通信从而最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。可选地，所述执行UE与初始接入节点之间的端到端无线接入链路接入层安全包括：执行所述UE与所述初始接入节点之间的端到端无线接入链路用户面加密，以及执行所述UE与所述初始接入节点之间的端到端无线接入链路控制面加密和控制面完整性保护；所述执行初始接入节点和网关节点之间的端到端无线回程链路接入层安全包括：执行所述初始接入节点和所述网关节点之间的端到端无线回程链路用户面加密和用户面完整性保护。可选地，在所述初始接入节点的PDCP-s和所述网关节点的PDCP-s本文档来自技高网...

【技术保护点】
一种实现接入层安全的方法，其特征在于，包括：执行用户设备UE与初始接入节点之间的端到端无线接入链路接入层安全；以及执行初始接入节点和网关节点之间的端到端无线回程链路接入层安全；其中，UE经过至少两段无线空中接口与核心网通信的通信路径；所述通信路径中，至少包括UE，初始接入节点，网关节点；当所述通信路径包括两段无线空中接口时，UE与初始接入节点之间通过无线接入链路通信，初始接入节点与网关节点之间通过无线回程链路通信。

【技术特征摘要】
1.一种实现接入层安全的方法，其特征在于，包括：执行用户设备UE与初始接入节点之间的端到端无线接入链路接入层安全；以及执行初始接入节点和网关节点之间的端到端无线回程链路接入层安全；其中，UE经过至少两段无线空中接口与核心网通信的通信路径；所述通信路径中，至少包括UE，初始接入节点，网关节点；当所述通信路径包括两段无线空中接口时，UE与初始接入节点之间通过无线接入链路通信，初始接入节点与网关节点之间通过无线回程链路通信。2.根据权利要求1所述的方法，其特征在于，当所述通信路径包括大于两段无线空中接口时，所述通信路径中还包括至少一个中间路由节点；当所述通信路径中包括一个中间路由节点时，所述初始接入节点与所述中间路由节点之间通过无线回程链路通信，所述中间路由节点与所述网关节点之间通过无线回程链路通信；当所述通信路径中包括两个或两个以上中间路由节点时，还包括：所述中间路由节点之间通过无线回程链路通信。3.根据权利要求1或2所述的方法，其特征在于，所述UE与初始接入节点之间采用无线接入空中接口Uu口；所述初始接入节点与网关节点之间采用无线回程接口Ub口。4.根据权利要求2所述的方法，其特征在于，所述中间路由节点和所述初始接入节点之间采用无线回程接口Ub口，所述中间路由节点和所述网关节点之间采用无线回程接口Ub口；当所述中间路由节点为两个或两个以上时，所述中间路由节点之间采用无线接入空中接口Ub口。5.根据权利要求1或2所述的方法，其特征在于，所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点；所述网关节点为能够通过有线接口接入所述核心网的无线接入小节点或宏基站；所述中间路由节点为实现所述初始接入节点和网关节点之间的通信从而最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。6.根据权利要求1或2所述的方法，其特征在于，所述执行UE与初始接入节点之间的端到端无线接入链路接入层安全包括：执行所述UE与所述初始接入节点之间的端到端无线接入链路用户面加密，以及执行所述UE与所述初始接入节点之间的端到端无线接入链路控制面加密和控制面完整性保护；所述执行初始接入节点和网关节点之间的端到端无线回程链路接入层安全包括：执行所述初始接入节点和所述网关节点之间的端到端无线回程链路用户面加密和用户面完整性保护。7.根据权利要求6所述的方法，其特征在于，在所述初始接入节点的PDCP-s和所述网关节点的PDCP-s层之间执行端到端线回程链路接入层安全。8.根据权利要求7所述的方法，其特征在于，所述初始接入节点的无线回程接口Ub接口侧和所述网关节点的无线回程接口Ub接口侧从下到上分别包括使用长期演进LTE技术的物理层L1、媒体接入层MAC、无线链路控制层RLC、数据包汇聚协议瘦身层PDCP-t，和数据包汇聚协议安全层PDCP-s；所述中间路由节点从下到上包括使用LTE技术的L1，MAC和RLC协议层；或者，包括使用LTE技术的L1、MAC、RLC和PDCP-t协议层；如果所述初始接入节点和所述网关节点上的PDCP-s层和PDCP-t层合并到一个协议层则为PDCP层；或者，所述初始接入节点的无线回程接口Ub接口侧和所述网关节点的无线回程接口Ub接口侧从下到上分别包括使用无线局域网WLAN技术的L1、MAC、逻辑链路控制层LLC，和PDCP-s协议层；所述中间路由节点从下到上包括使用WLAN技术的L1、MAC和LLC协议层。9.根据权利要求7所述的方法，其特征在于，所述执行初始接入节点和网关节点之间的端到端无线回程链路用户面加密和用户面完整性保护包括：所述UE的用户面数据，在通过无线接入空中接口Uu口发送给所述初始接入节点后，所述初始接入节点在将UE的用户面数据发送到无线回程接口Ub口之前，在所述初始接入节点的PDCP-s层执行加密和完整性保护，数据发送到所述网关节点之后，由所述网关节点在PDCP-s层进行解密和完整性验证；相应地，所述网关节点从核心网获取到需要发送给UE的用户面数据，在发送到无线回程接口Ub口前，在所述网关节点的PDCP-s层执行加密和完整性保护，数据发送到所述初始接入节点后，由所述初始接入节点在PDCP-s层进行解密和完整性验证。10.根据权利要求7所述的方法，其特征在于，所述PDCP-s层用于实现：头压缩和解压缩，以及安全操作；其中安全操作包括：加密，解密，完整性保护和完整性验证。11.根据权利要求6所述的方法，其特征在于，所述执行UE与初始接入节点之间的端到端无线接入链路用户面加密，以及所述执行UE与初始接入节点之间的端到端无线接入链路控制面加密和控制面完整性保护包括：所述UE的上行用户面数据和上行RRC层控制面信令在发送到空中接口之前，分别在UE的PDCP层执行针对用户面数据的用户面加密以及针对RRC层控制面信令的控制面加密和完整性保护；所述初始接入节点接收到所述用户面数据或所述RRC层控制面信令后，对用户面数据和RRC层控制面信令进行解密并对RRC层控制面信令进行完整性验证；相应地，所述初始接入节点发送给UE的下行用户面数据和RRC层控制面信令在发送到空中接口之前，分别在初始接入节点的PDCP层执行对用户面数据的用户面加密以及对RRC层控制面信令的控制面加密和完整性保护；所述UE接收到用户面数据或RRC层控制面信令后，对所述用户面数据和所述RRC层控制面信令进行解密和对RRC层控制面信令进行完整性验证。12.根据权利要求11所述的方法，其特征在于，所述UE和所述初始节
\t点的无线接入空中接口Uu接口侧上从下到上分别包括L1、MAC、RLC，以及数据包汇聚协议层PDCP协议层；所述执行UE与初始接入节点之间的端到端无线接入链路接入层安全，所述方法包括：在所述UE的PDCP和所述初始接入节点的PDCP层之间执行端到端控制面接入层安全。13.根据权利要求6所述的方法，其特征在于，该方法之前还包括：所述初始接入节点和所述网关节点之间生成所述执行初始接入节点与网关节点之间端到端无线回程链路用户面加密和无线回程链路用户面完整性保护所需要的无线回程链路用户面加密密钥KUP-Wenc和无线回程链路用户面完整性保护密钥KUP-Wint，包括：所述初始接入节点和所述网关节点基于无线回程链路接入层安全根密钥KeNB-FAN生成所述无线回程链路用户面加密密钥KUP-Wenc和所述无线回程链路用户面完整性保护密钥KUP-Wint；其中，所述初始接入节点的无线回程链路接入层安全根密钥KeNB-FAN为所述初始接入节点与所述核心网之间执行鉴权和密钥协商AKA过程和非接入层NAS层安全过程后生成的；其中，所述网关节点的无线回程链路接入层安全根密钥KeNB-FAN为所述初始接入节点与所述核心网之间执行鉴权和密钥协商AKA过程和非接入层NAS层安全过程后，由所述核心网发送给所述网关节点的。14.根据权利要求6所述的方法，其特征在于，该方法之前还包括：所述UE与所述初始接入节点之间生成所述执行UE与初始接入节点之间端到端无线接入链路用户面加密所需要的用户面加密密钥KUPenc，以及生成所述执行UE与所述初始接入节点之间端到端无线接入链路控制面加密和控制面完整性保护所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint，包括：所述UE和所述网关节点基于无线接入链路接入层安全根密钥KeNB生成所述用户面加密密钥KUPenc，以及生成所述控制面加密密钥KRRCenc和所述
\t控制面完整性保护密钥KRRCint；所述网关节点将所述生成的用户面加密密钥KUPenc，控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint发送给所述初始接入节点；或，所述UE和所述网关节点基于无线接入链路接入层安全根密钥KeNB、所述初始接入节点的小区的EARFCN-DL，以及PCI生成一个新的无线接入链路接入层根密钥KeNB*；所述网关节点将所述生成的KeNB*发送给所述初始接入节点；所述UE和所述初始接入节点基于所述KeNB*生成所述用户面加密密钥KUPenc，以及生成所述控制面加密密钥KRRCenc和所述控制面完整性保护密钥KRRCint；其中，所述UE的无线接入链路接入层安全根密钥KeNB为所述UE与所述核心网之间执AKA过程和NAS层安全过程后生成的；其中，所述网关节点的无线接入链路接入层安全根密钥KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后，由所述核心网发送给所述网关节点的。15.根据权利要求14所述的方法，其特征在于，该方法还包括：所述网关节点将所述生成的用户面加密密钥KUPenc，控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint发送给所述初始接入节点，包括：所述网关节点向所述初始接入节点发送携带有所述用户面加密密钥KUPenc，控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint的消息，对所述消息执行所述初始接入节点和所述网关节点之间的端到端无线回程链路用户面加密和用户面完整性保护；所述网关节点将所述生成的KeNB*发送给所述初始接入节点，包括：所述网关节点向所述初始接入节点发送携带有所述KeNB*的消息，对所述消息执行所述初始接入节点和所述网关节点之间的端到端无线回程链路用户面加密和用户面完整性保护。16.一种用户设备UE，其特征在于，至少包括第一处理模块、第一无线接入链路处理模块；其中，第一处理模块，用于与核心网之间实现AKA过程和NAS层安全；第一无线接入链路处理模块，用于执行与初始接入节点之间的端到端无线接入链路接入层...

【专利技术属性】
技术研发人员：施小娟，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东;44