密钥处理方法以及相关装置制造方法及图纸

申请实施例公开了一种密钥处理方法，提出了一种针对DC场景下，获得分流承载的安全密钥的方式。该方法包括：主基站确定配置分流承载，所述主基站获取第一根密钥以及生成第一计数值；主基站根据第一根密钥以及第一计数值生成第二密钥，第二密钥用于派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥；其中，分流承载为第一分流承载或第二分流承载，第一分流承载为数据锚点在主基站上的分流承载，第二分流承载为数据锚点在辅基站上的分流承载，本申请实施例还公开了一种基站和终端。

【技术实现步骤摘要】
密钥处理方法以及相关装置
本申请实施例涉及通信领域，尤其涉及一种密钥处理方法、基站以及终端。
技术介绍
未来的第五代(5thGeneration，5G)网络建设中，可以通过双连接(dualconnectivity，DC)，使终端同时从主基站和辅基站空口获得无线资源，提高无线资源利用率，提高传输速率。在DC场景中，具有多种数据承载方式，包括：主小区组承载(mastercellgroupbearer，MCGbearer)，辅小区组承载(secondarycellgroupbearer，SCGbearer)以及分流承载(splitbearer)，其中，分流承载又进一步包括：数据锚点在主基站上的分流承载和数据锚点在辅基站上的分流承载。对每种承载上的数据，都需要进行加密和/或完整性保护。但是，现有技术中，尚未有针对上述两种分流承载上的数据进行统一安全密钥的生成方式。
技术实现思路
本申请实施例提供了一种密钥处理方法、基站以及终端设备，用于解决现有技术中，尚未有针对DC场景下的分流承载进行统一安全处理的问题，包括如何派生安全密钥。有鉴于此，为了解决上述问题，本申请提供以下技术方案。第一方面，本申请提出了一种密钥处理方法，该方法包括：主基站确定配置分流承载；主基站获取第一根密钥以及生成第一计数值；主基站根据第一根密钥以及第一计数值生成第二密钥，所述第二密钥用于派生用于对分流承载上的数据进行加密和/或完整性保护的密钥。其中，分流承载为第一分流承载或第二分流承载，第一分流承载为数据锚点在主基站上的分流承载，第二分流承载为数据锚点在辅基站上的分流承载。由此可见，本申请提出了一种针对DC场景下，获得分流承载的安全密钥的方式。其中，主基站与辅基站可以是不同制式的基站，例如主基站为长期演进(longtermevolution，LTE)基站且辅基站为新空口(newradio，NR)基站。可选地，当主基站确定配置第一分流承载时，所述方法还包括：所述主基站根据所述第二密钥派生用于对所述第一分流承载上的数据进行加密和/或完整性保护的密钥。可选地，当主基站确定配置第二分流承载时，所述方法还包括：所述主基站将所述第二密钥发送给辅基站。则辅基站可以根据所述第二密钥派生用于对所述第二分流承载上的数据进行加密和/或完整性保护的密钥。在一种可能的实现中，主基站生成第一计数值之后，方法还包括：主基站将第一计数值发送至终端，以使终端根据第一计数值生成终端的第二密钥，所述终端的第二密钥用于所述终端派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。在一种可能的实现中，方法还包括：当主基站确定配置的分流承载由第一分流承载切换至第二分流承载，或者由第二分流承载切换至第一分流承载，主基站更新第二密钥。由此可见，由于第一分流承载、第二分流承载使用不同的安全密钥，当某个基站受到恶意攻击时，另一基站不会跟着受影响，有效地提高了基站的安全性。在一种可能的实现中，主基站更新第二密钥，包括：主基站生成第二计数值，第二计数值与第一计数值为不同的计数值；主基站根据第一根密钥以及第二计数值生成第三密钥；主基站将第二密钥更新为第三密钥。当所述主基站为所述终端配置的分流承载由所述第一分流承载切换至所述第二分流承载时，所述主基站将所述第二密钥发送给所述辅基站。即在本实现中，提出了一种具体更新第二密钥的方式，提高了方案的可实施性。在一种可能的实现中，主基站生成第二计数值之后，方法还包括：主基站将第二计数值发送至终端，以使终端根据第二计数值生成第三密钥。在主基站更新了第二密钥后，终端也要对应将第二密钥更新为第三密钥。结合本申请第一方面，在一种可能的实现中，方法还包括：当主基站确定配置的分流承载由第一分流承载切换至第二分流承载时，主基站向辅基站发送NR分组数据汇聚协议(packetdataconvergenceprotocol，PDCP)上下文信息，NRPDCP上下文信息至少包括以下参数中的一个或者多个：主基站上NRPDCP层为下一个准备进行PDCP层处理的PDCP服务数据单元(servicedataunit，SDU)分配的PDCP序号(serialnumber，SN)和/或PDCP计数器(COUNT)值；或者，主基站上收到的上行ULPDCPSDU的状态报告；或者，主基站上第一个丢失的ULPDCPSDU对应的PDCP服务数据单元序列号SN和/或PDCP计数COUNT值。结合本申请第一方面，在一种可能的实现中，方法还包括：当主基站确定配置的分流承载由第二分流承载切换至第一分流承载，主基站接收辅基站发送的NRPDCP上下文信息，NRPDCP上下文信息包括以下参数中的一个或者多个：辅基站上NRPDCP层为下一个准备进行PDCP层处理的PDCPSDU分配的PDCPSN和/或PDCPCOUNT值；或者，辅基站上收到的ULPDCPSDU的状态报告；或者，辅基站上第一个丢失的ULPDCPSDU对应的PDCPSN和/或PDCPCOUNT值。由此可见，对于上述第二种方案，当主基站确定配置的分流承载的类型发生变化时，通过主基站和辅基站之间交互NRPDCP上下文信息，从而使得对于终端而言，分流承载的类型切换过程中无需进行密钥的更新，也不需要触发终端NRPDCP的重建立，有效地防止了不必要的NRPDCP重建立所带来的资源浪费。在一种可能的实现中，因此，若第一分流承载切换到第二分流承载，主基站释放从主基站到辅基站的下行(DL)数据分流传输通道，辅基站释放辅基站到主基站的上行(UL)数据分流传输通道。同理，若第二分流承载切换到第一分流承载，也需要将切换之前的传输隧道释放。由此可见，这样可以减少传输资源浪费。第二方面，本申请提供了一种密钥处理方法，该方法包括：终端接收主基站发送的第一计数值，第一计数值为主基站确定配置分流承载后生成的；终端根据第一计数值以及获取的第一根密钥生成第二密钥；终端根据第二密钥派生用于进行加密和/或完整性保护的密钥；其中，分流承载为第一分流承载或者第二分流承载，第一分流承载为数据锚点在主基站上的分流承载，第二分流承载为数据锚点在辅基站上的分流承载。在一种可能的实现中，当主基站确定配置的分流承载由第一分流承载切换至第二分流承载，或者由第二分流承载切换至第一分流承载，终端接收主基站发送的第二计数值，第二计数值与第一计数值为不同的计数值；终端根据第二计数值以及第一密钥生成第三密钥；终端将第二密钥更新为上述第三密钥。在一种可能的实现中，当主基站确定配置的分流承载由第一分流承载切换至第二分流承载时，或者由第二分流承载切换至第一分流承载，终端不触发NRPDCP的重建立过程，分流承载的类型切换过程中无需进行NRPDCP重建立，有效地防止了不必要的NRPDCP重建立所带来的资源浪费。第三方面，本申请实施例提供了一种密钥处理方法，包括：当所述终端被配置使用锚点在辅基站的分流承载时，所述辅基站从主基站接收第二密钥，所述第二密钥为所述主基站根据第一根密钥派生，所述辅基站根据所述第二密钥生成用于对所述锚点在辅基站的分流承载上的数据进行加密和/或完整性保护的密钥。第四方面，本本申请实施例提供了一种基站，该基站包括用于上述各方面各个步骤的单元/手段(means)。在一种可能的实现中，该基站包括：获取单本文档来自技高网...

【技术保护点】
1.一种密钥处理方法，其特征在于，所述方法包括：主基站确定配置分流承载，其中，所述分流承载为第一分流承载或第二分流承载，所述第一分流承载为数据锚点在所述主基站上的分流承载，所述第二分流承载为数据锚点在辅基站上的分流承载；所述主基站获取第一根密钥以及生成第一计数值；所述主基站根据所述第一根密钥以及所述第一计数值生成第二密钥，所述第二密钥用于派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。

【技术特征摘要】
1.一种密钥处理方法，其特征在于，所述方法包括：主基站确定配置分流承载，其中，所述分流承载为第一分流承载或第二分流承载，所述第一分流承载为数据锚点在所述主基站上的分流承载，所述第二分流承载为数据锚点在辅基站上的分流承载；所述主基站获取第一根密钥以及生成第一计数值；所述主基站根据所述第一根密钥以及所述第一计数值生成第二密钥，所述第二密钥用于派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。2.根据权利要求1所述的方法，其特征在于，所述主基站生成所述第一计数值之后，所述方法还包括：所述主基站将所述第一计数值发送至所述终端，以使所述终端根据所述第一计数值生成终端的第二密钥，所述终端的第二密钥用于所述终端派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：当所述主基站确定配置的分流承载由所述第一分流承载切换至所述第二分流承载，或者由所述第二分流承载切换至所述第一分流承载，所述主基站更新所述第二密钥。4.根据权利要求3所述的方法，其特征在于，所述主基站更新所述第二密钥，包括：所述主基站生成第二计数值，所述第二计数值与所述第一计数值为不同的计数值；所述主基站根据所述第一根密钥以及所述第二计数值生成第三密钥；所述主基站将所述第二密钥更新为所述第三密钥。5.根据权利要求4所述的方法，其特征在于，所述主基站生成第二计数值之后，所述方法还包括：所述主基站将所述第二计数值发送至所述终端，以使所述终端根据所述第二计数值生成所述第三密钥。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：当所述主基站确定配置的所述分流承载由所述第一分流承载切换至所述第二分流承载，所述主基站向所述辅基站发送新空口分组数据汇聚协议NRPDCP上下文信息，所述NRPDCP上下文信息至少包括以下参数中的一个或者多个：所述主基站的NRPDCP层为下一个准备进行PDCP层处理的PDCP服务数据单元SDU分配的PDCP序列号SN和/或PDCP计数器COUNT值；或者，所述主基站上收到的上行ULPDCPSDU的状态报告；或者，所述主基站上第一个丢失的ULPDCPSDU对应的PDCPSN和/或PDCPCOUNT值。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：当所述主基站确定配置的所述分流承载由所述第二分流承载切换至所述第一分流承载，所述主基站接收所述辅基站发送的NRPDCP上下文信息，所述NRPDCP上下文信息包括以下参数中的一个或者多个：所述辅基站上NRPDCP层为下一个准备进行PDCP层处理的PDCPSDU分配的PDCPSN和/或PDCPCOUNT值；或者，所述辅基站上收到的ULPDCPSDU的状态报告；或者，所述辅基站上第一个丢失的ULPDCPSDU对应的PDCPSN和/或PDCPCOUNT值。8.根据权利要求1-7任一所述的方法，其特征在于，所述主基站确定配置分流承载包括：所述主基站确定配置第一分流承载；所述方法还包括：所述主基站根据所述第二密钥派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。9.根据权利要求1-7任一所述的方法，其特征在于，所述主基站确定配置分流承载包括：所述主基站确定配置第二分流承载；所述方法还包括：所述主基站向所述辅基站发送所述第二密钥。10.一种密钥处理方法，其特征在于，所述方法包括：终端接收主基站发送的第一计数值，所述第一计数值为所述主基站确定配置分流承载后生成的，其中，所述分流承载为第一分流承载或者第二分流承载，所述第一分流承载为数据锚点在所述主基站上的分流承载，所述第二分流承载为数据锚点在所述辅基站上的分流承载；所述终端根据所述终端派生的第一根密钥以及获取到的所述第一计数值生成第二密钥；所述终端根据所述第二密钥派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。11.根据权利要求10所述的方法，其特征在于，当所述主基站确定配置的所述分流承载由所述第一分流承载切换至所述第二分流承载时，或者由所述第二分流承载切换至所述第一分流承载时，所述终端接收所述主基站发送的第二计数值，所述第二计数值与所述第一计数值为不同的计数值；所述终端根据所述第二计数值以及所述第一根密钥生成第三密钥；所述终端将所述第二密钥更新为所述第三密钥。12.根据权利要求10所述的方法，其特征在于，当所述主基站确定配置的所述分流承载由所述第一分流承载切换至所述第二分流承载时，或者由所述第二分流承载切换至所述第一分流承载时，所述终端不触发NRPDCP的重建立过程。13.一种基站，其特征在于，包括：确定单元，用于确定配置分流承载，其中，所述分流承载为第一分流承载或者第二分流承载，所述第一分流承载为数据锚...

【专利技术属性】
技术研发人员：刘菁，郭轶，戴明增，彭文杰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44