在通信网络中使用的节点及操作所述节点的方法技术

根据一个方面，提供了一种操作通信网络中的第一无线接入节点的方法，所述方法包括：确定(601)用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥，其中，所述第一加密密钥用于加密通信设备与所述第一无线接入节点之间的通信，所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信；以及如果所述第一基础密钥能被所述第二无线接入节点使用，则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间，将所述第一基础密钥发送(603)到所述第二无线接入节点。

【技术实现步骤摘要】
【国外来华专利技术】在通信网络中使用的节点及操作所述节点的方法
本文涉及通信网络，更具体地说，涉及与终端设备在通信网络中的无线接入节点之间的切换相关的技术。
技术介绍
在长期演进(LTE)通信网络中，用户设备(UE)与eNB之间的通信被加密并且部分受到完整性保护。完整性和加密密钥是从在UE和eNB之间共享的被称为KeNB的公共根密钥导出的。KeNB对于UE-PCell对是唯一的，其中PCell是UE在与eNB通信时用作“主(master)”的主小区。由于UE仅使用一个PCell与eNB进行通信，因此KeNB对于UE-eNB对也是唯一的。也就是说，同一KeNB永远不会用于保护UE与两个不同eNB之间的业务。这种设计背后的原理是，防止已经获得或获知在UE与第一eNB之间使用的KeNB的攻击者利用任何方法使用该KeNB来尝试破坏UE与不同eNB之间的业务的加密或完整性。为了确保KeNB对于每个UE-eNB对是唯一的，在两个eNB之间进行切换期间改变KeNB。为了简单起见，即使源eNB和目标eNB是同一节点，KeNB也在所有LTE内切换(例如，小区间切换)时实际发生改变。UE-KeNB对在切换期间的唯一性通过以下事实来实现：UE和源eNB从当前KeNB、目标主小区(PCell)的物理小区标识符(PCI)和目标物理小区下行链路频率(例如，下行链路演进绝对射频信道号EARFCN-DL)导出新的KeNB(表示为KeNB*)。这在3GPPTS33.401“3GPP系统架构演进(SAE)；安全架构”版本12.14.0(2015-03)的条款7.2.8中规定。更具体地说，导出KeNB*的密钥推导函数(KDF)的输入是：-FC＝0x13-P0＝PCI(目标PCI)-L0＝PCI的长度(即0x000x02)-P1＝EARFCN-DL(目标物理小区下行链路频率)-EARFCN-DL的L1长度(即0x000x02)下面参考图1来描述没有核心网络参与的两个eNB之间的切换，即所谓的X2切换。切换可以在UE已经完成激活无线资源控制(RRC)和非接入层(NAS)安全性的所有必要过程之后执行。X2切换通过以下方式发起：即，源eNB2从在源eNB2与UE3之间共享的当前活动的KeNB计算KeNB*，然后在切换请求消息5中将其连同UE安全性能力一起发送给目标eNB4。目标eNB4以用于UE连接的必要配置信息5来回复。该信息包括目标eNB4和UE3应使用的选定算法。然后，源eNB2将该回复转发给UE3(信号6)，UE3利用完成消息7向目标eNB4确认切换。在最后一个步骤中，目标eNB4从移动性管理实体(MME)取回被称为下一跳密钥(NH)的新密钥。NH源自密钥KASME(由UE和MME共享的基础密钥)，并且NH用作在下一个切换事件中计算KeNB*的基础。在一些情况下，源eNB在执行切换时没有“新”NH密钥，而是eNB能够从当前KeNB创建新的KeNB*。这被称为垂直密钥推导。之前未被使用过的NH密钥被称为“新密钥”。KeNB*密钥本身并不被从eNB发送到UE，而是将指示KeNB*是垂直(即，存在新NH)还是水平(eNB中没有任何新NH)导出的信息元素(IE)发送到UE。该信息元素被称为NCC(下一跳链计数器)并且被包括在RRC重配置消息中。NCC是0至7之间的值。如果NCC步进，则UE知道应执行垂直密钥推导，并且当NCC与当前活动的KeNB所关联的NCC相同时，UE将改为执行水平密钥推导。当今网络的趋势是，运营商增加更多频率并缩减小区规模以增加移动宽带的容量。这导致UE重配置和移动动作的增加。快速移动或恢复小区间UE会话的能力变得越来越重要，以便适应与短数据突发相关联的业务模式。然而，由于加密和完整性密钥是从绑定到主小区的基础密钥(KeNB)导出的(经由在导出密钥KeNB时使用主小区的EARFCN-DL和PCI)，因此，每当UE从该PCell移动或在另一PCell中重新连接时，必须在业务能够恢复之前执行密钥重新协商。由于KeNB的重新协商消耗相当大的处理器周期和内存，因此会导致问题，并且特别导致加密和完整性密钥必须从新的KeNB导出。当更新加密密钥时，一些已加密的分组必须被缓冲，使用旧的加密密钥进行解密，然后使用新的加密密钥重新加密。类似的问题是，已受到完整性保护的分组同样需要使用新的完整性保护密钥来重新保护。这增加了延迟，从而降低了最终用户体验。而且，它使得eNB的实现复杂化，从而导致实施错误的风险增加以及代码维护成本增加。上面的问题是在LTE处理安全性的方式的背景下描述的，但是在其它类型的通信网络中，此问题也可能同样突出。可以理解，许多不同类型的网络都需要优化安全性处理。因此，当发生两个eNB之间的切换时，需要改进处理安全性的方式。
技术实现思路
根据第一方面，提供了一种操作通信网络中的第一无线接入节点的方法。所述方法包括：确定用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥，其中，所述第一加密密钥用于加密通信设备与所述第一无线接入节点之间的通信，所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信；以及如果所述第一基础密钥能被所述第二无线接入节点使用，则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间，将所述第一基础密钥发送到所述第二无线接入节点。根据第二方面，提供了一种用于在通信网络中使用的第一无线接入节点。所述第一无线接入节点适于或被配置为(或包括一个或多个模块，这些模块被配置为)确定用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥，其中，所述第一加密密钥用于加密通信设备与所述第一无线接入节点之间的通信，所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信；以及如果所述第一基础密钥能被所述第二无线接入节点使用，则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间，将所述第一基础密钥发送到所述第二无线接入节点。根据第三方面，提供了一种用于在通信网络中使用的第一无线接入节点。所述第一无线接入节点包括处理器和存储器，所述存储器包含能由所述处理器执行的指令，由此所述第一无线接入节点可操作以执行根据上面列出的第一方面的方法。根据第四方面，提供了一种操作通信设备的方法。所述方法包括：在所述通信设备从通信网络中的第一无线接入节点到所述通信网络中的第二无线接入节点的切换时，接收用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示，其中，所述第一加密密钥用于加密所述通信设备与所述第一无线接入节点之间的通信，所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信；如果所接收的指示表明所述第一基础密钥能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥，则根据所述第一基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥；否则，根据所述第一基础密钥确定第二基础密钥；以及根据所述第二基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥。根据第五方面，提供了一种通信设备。所述通信设备适于或被配置为(或包括一个或多个模块，这些模块被配置为)：本文档来自技高网...

【技术保护点】
1.一种操作通信网络中的第一无线接入节点的方法，所述方法包括：确定(601)用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥，其中，所述第一加密密钥用于加密通信设备与所述第一无线接入节点之间的通信，所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信；以及如果所述第一基础密钥能被所述第二无线接入节点使用，则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间，将所述第一基础密钥发送(603)到所述第二无线接入节点。

【技术特征摘要】
【国外来华专利技术】2015.10.08 US 62/238,9661.一种操作通信网络中的第一无线接入节点的方法，所述方法包括：确定(601)用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥，其中，所述第一加密密钥用于加密通信设备与所述第一无线接入节点之间的通信，所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信；以及如果所述第一基础密钥能被所述第二无线接入节点使用，则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间，将所述第一基础密钥发送(603)到所述第二无线接入节点。2.根据权利要求1所述的方法，其中，所述方法进一步包括以下步骤：如果所述第一基础密钥能被所述第二无线接入节点使用，则向所述通信设备发送所述第一基础密钥将要被用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥的指示。3.根据权利要求1或2所述的方法，其中，如果确定所述第一基础密钥不能被所述第二无线接入节点使用，则所述方法进一步包括以下步骤：根据所述第一基础密钥，确定(605)第二基础密钥；以及在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间，将所述第二基础密钥发送(607)到所述第二无线接入节点。4.根据权利要求1至3中任一项所述的方法，其中，如果确定所述第一基础密钥不能被所述第二无线接入节点使用，则所述方法进一步包括：向所述通信设备发送使得所述通信设备根据所述第一基础密钥确定第二基础密钥以与所述第二无线接入节点使用的指示。5.根据权利要求1至4中任一项所述的方法，其中，确定(601)所述第一基础密钥是否能被第二无线接入节点使用的步骤包括：如果所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分，则确定所述第一基础密钥能被所述第二无线接入节点使用。6.根据权利要求5所述的方法，其中，如果所述第一无线接入节点和所述第二无线接入节点：(a)作为单独的虚拟机在同一硬件上运行；(b)是同一虚拟机内的两个容器；(c)在同一物理机架中的板上实现；(d)被安全策略确定为属于同一安全区域；或者(e)在物理上位于同一站点，则所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分。7.根据权利要求1至4中任一项所述的方法，其中，确定(601)所述第一基础密钥是否能被第二无线接入节点使用的步骤包括：将对有关所述第二无线接入节点的信息的请求发送到所述通信网络中的另一节点；以及从所述另一节点接收有关所述第二无线接入节点的信息，所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。8.根据权利要求1至4中任一项所述的方法，其中，确定(601)所述第一基础密钥是否能被第二无线接入节点使用的步骤包括：检查所述第一无线接入节点处的列表或本地配置。9.根据权利要求1至8中任一项所述的方法，其中，在切换期间将所述第一基础密钥发送(603)到所述第二无线接入节点的步骤进一步包括：发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。10.根据权利要求1至9中任一项所述的方法，其中，所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。11.一种操作通信设备的方法，所述方法包括：在所述通信设备从通信网络中的第一无线接入节点到所述通信网络中的第二无线接入节点的切换时，接收(701)用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示，其中，所述第一加密密钥用于加密所述通信设备与所述第一无线接入节点之间的通信，所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信；如果所接收的指示表明所述第一基础密钥能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥，则根据所述第一基础密钥确定(705)用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥；否则，根据所述第一基础密钥确定(707)第二基础密钥；以及根据所述第二基础密钥确定(709)用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥。12.根据权利要求11所述的方法，其中，所述指示在与所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换有关的消息中被接收。13.根据权利要求11或12所述的方法，其中，所述指示从所述第一无线接入节点或所述第二无线接入节点接收。14.一种操作通信网络中的第二无线接入节点的方法，所述方法包括：在通信设备从所述通信网络中的第一无线接入节点到所述第二无线接入节点的切换期间，从所述第一无线接入节点接收(801)第一基础密钥；从所述第一无线接入节点接收(803)用于根据所述第一基础密钥确定第一加密密钥的加密密钥生成算法的指示；以及使用所指示的加密密钥生成算法，根据所述第一基础密钥确定(805)用于加密所述通信设备与所述第二无线接入节点之间的通信的所述第一加密密钥。15.根据权利要求14所述的方法，所述方法进一步包括：向所述通信设备发送用于确定用于加密所述通信设备与所述第一无线接入节点之间的通信的所述第一加密密钥的所述第一基础密钥是否能用于确定用于加密所述通信设备与所述第二无线接入设备之间的通信的第二加密密钥的指示。16.根据权利要求14或15所述的方法，其中，所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。17.一种操作通信网络中的节点的方法，所述方法包括：从所述通信网络中的第一无线接入节点接收(901)对有关所述通信网络中的第二无线接入节点的信息的请求，所述信息与用于确定用于加密通信设备与所述第一无线接入节点之间的通信的第一加密密钥的第一基础密钥是否能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥有关；以及将有关所述第二无线接入节点的信息发送(903)到所述第一无线接入节点，所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。18.根据权利要求17所述的方法，其中，所述方法进一步包括以下步骤：确定所述第一基础密钥是否能被第二无线接入节点使用。19.根据权利要求18所述的方法，其中，确定步骤(901)包括：如果所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分，则确定所述第一基础密钥能被所述第二无线接入节点使用。20.根据权利要求19所述的方法，其中，如果所述第一无线接入节点和所述第二无线接入节点：(a)作为单独的虚拟机在同一硬件上运行；(b)是同一虚拟机内的两个容器；(c)在同一物理机架中的板上实现；(d)被安全策略确定为属于同一安全区域；或者(e)在物理上位于同一站点，则所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分。21.一种用于在通信网络(32)中使用的第一无线接入节点(40)，所述第一无线接入节点适于：确定用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点(40)用于确定第二加密密钥，其中，所述第一加密密钥用于加密通信设备(42)与所述第一无线接入节点之间的通信，所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信；以及如果所述第一基础密钥能被所述第二无线接入节点使用，则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间，将所述第一基础密钥发送到所述第二无线接入节点。22.根据权利要求21所述的第一无线接入节点(40)，其中，所述第一无线接入节点进一步适于：如果所述第一基础密钥能被所述第二无线接入节点使用，则向所述通信设备(42)发送所述第一基础密钥将要被用于确定用于加密所述通信设备与所述第二无线接入节点(40)之间的通信的第二加密密钥的指示。23.根据权利要求21或22所述的第一无线接入节点(40)，其中，所述第一无线接入节点进一步适于：如果确定所述第一基础密钥不能被所述第二无线接入节点(40)使用，则根据所述第一基础密钥确定第二基础密钥；以及在所述通信设备(42)从所述第一无线接入节点到所述第二无线接入节点的切换期间，将所述第二基础密钥发送到所述第二无线接入节点。24.根据权利要求21至23中任一项所述的第一无线接入节点(40)，其中，所述第一无线接入节点进一步适于：如果确定所述第一基础密钥不能被所述第二无线接入节点使用，则向所述通信设备(42)发送使得所述通信设备根据所述第一基础密钥确定第二基础密钥以与所述第二无线接入节点(40)使用的指示。25.根据权利要求21至24中任一项所述的第一无线接入节点(40)，其中，所述第一无线接入节点适于通过以下操作确定所述第一基础密钥是否能被第二无线接入节点(40)使用：如果所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分，则确定所述第一基础密钥能被所述第二无线接入节点使用。26.根据权利要求25所述的第一无线接入节点(40)，其中，如果所述第一无线接入节点和所述第二无线接入节点：(a)作为单独的虚拟机在同一硬件上运行；(b)是同一虚拟机内的两个容器；(c)在同一物理机架中的板上实现；(d)被安全策略确定为属于同一安全区域；或者(e)在物理上位于同一站点，则所述第一无线接入节点和所述第二无线接入节点(40)是同一安全区域的一部分。27.根据权利要求21至24中任一项所述的第一无线接入节点(40)，其中，所述第一无线接入节点适于通过以下操作确定所述第一基础密钥是否能被第二无线接入节点(40)使用：将对有关所述第二无线接入节点的信息的请求发送到所述通信网络(32)中的另一节点；以及从所述另一节点接收有关所述第二无线接入节点的信息，所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。28.根据权利要求21至24中任一项所述的第一无线接入节点(40)，其中，所述第一无线接入节点适于通过以下操作确定所述第一基础密钥是否能被第二无线接入节点(40)使用：检查所述第一无线接入节点处的列表或本地配置。29.根据权利要求21至28中任一项所述的第一无线接入节点(40)，其中，所述第一无线接入节点进一步适于发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。30.根据权利要求21至29中任一项所述的第一无线接入节点(40)，其中，所述第一无线接入节点和所述第二无线接入节点(40)共享分组数据汇聚协议PDCP状态。31.一种通信设备(42)，所述通信设备适于：在所述通信设备从通信网络(32)中的第一无线接入节点(40)到所述通信网络中的第二无线接入节点(40)的切换时，接收用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示，其中，所述第一加密密钥用于加密所述通信设备与所述第一无线接入节点之间的通信，所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信；如果所接收的指示表明所述第一基础密钥能用于确定第二加密密钥，则根据所述第一基础密钥确定第二加密密钥；如果所接收的指示未表明所述第一基础密钥能用于确定第二加密密钥，则根据所述第一基础密钥确定第二基础密钥；以及根据所述第二基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥。32.根据权利要求31所述的通信设备(42)，其中，所述指示在与所述通信设备从所述第一无线接入节点(40)到所述第二无线接入节点(40)的切换有关的消息中被接收。33.根据权利要求31或32所述的通信设备(42)，其中，所述指示从所述第一无线接入节点(40)或所述第二无线接入节点(40)来接收。34.一种用于在通信网络(32)中使用的第二无线接入节点(40)，所述第二无线接入节点适于：在通信设备(42)从所述通信网络中的第一无线接入节点(40)到所述第二无线接入节点的切换期间，从所述第一无线接入节点接收第一基础密钥；从所述第一无线接入节点接收用于根据所述第一基础密钥确定第一加密密钥的加密密钥生成算法的指示；以及使用所指示的加密密钥生成算法，根据所述第一基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的所述第一加密密钥。35.根据权利要求34所述的第二无线接入节点(40)，其中，所述第二无线接入节点进一步适于：向所述通信设备(42)发送用于确定所述第一加密密钥的所述第一基础密钥是否能用于确定第二加密密钥的指示，其中，所述第一加密密钥用于加密所述通信设备与所述第一无线接入节点(40)之间的通信，所述第二加密密钥用于加密所述通信设备与所述第二无线接入设备之间的通信。36.根据权利要求34或35所述的第二无线接入节点(40)，其中，所述第一无线接入节点(40)和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。37.一种用于在通信网络(32)中使用的节点(36；38)，所述节点适于：从所述通信网络中的第一无线接入节点(40)接收对有关所述通信网络中的第二无线接入节点(40)的信息的请求，所述信息与用于确定用于加密所述通信设备(42)与所述第一无线接入节点之间的通信的第一加密密钥的第一基础密钥是否能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥有关；以及将有关所述第二无线接入节点的信息发送到所述第一无线接入节点，所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。38.根据权利要求37所述的节点(36；38)，其中，所述节点进一步适于：确定所述第一基础密钥是否能被第二无线接入节点(40)使用。39.根据权利要求38所述的节点(36；38)，其中，所述节点适于通过以下操作执行所述确定：如果所述第一无线接入节点(40)和所述第二无线接入节点(40)是同一安全区域的一部分，则确定所述第一基础密钥能被所述第二无线接入节点使用。40.根据权利要求39所述的节点(36；38)，其中，如果所述第一无线接入节点(40)和所述第二无线接入节点(40)：(a)作为单独的虚拟机在同一硬件上运行；(b)是同一虚拟机内的两个容器；(c)在同一物理机架中的板上实现；(d)被安全策略确定为属于同一安全区域；或者(e)在物理上位于同一站点，则所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分。41.一种用于在通信网络中使用的第一无线接入节点，其中所述第一无线接入节点包括处理器和存储器，所述存储器包含能由所述处理器执行的指令，由此所述第一无线接入节点可操作以：确定用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥，其中，所述第一加密密钥用...

【专利技术属性】
技术研发人员：R·阿克森，K·诺曼，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典,SE