根据本公开的一些实施例,提供了用于在控制平面节点处和在用户平面节点处的密钥处理方法、相应的用户平面节点和控制平面节点以及包括它们的系统。在控制平面节点处的密钥处理方法包括:向用户平面节点发送第一安全信息,第一安全信息使得用户平面节点能够确定用于用户平面通信的用户平面密钥;从用户平面节点接收响应于第一安全信息的响应信息;以及基于响应信息,向与用户平面节点相关联的用户设备发送第二安全信息或触发另一节点向用户设备发送第二安全信息,第二安全信息使得用户设备能够确定用户平面密钥。
Key Processing Method, Control Plane Node, User Plane Node and User Equipment
【技术实现步骤摘要】
密钥处理方法、控制平面节点、用户平面节点和用户设备
本公开涉及无线通信
,且更具体地涉及在控制平面节点处和在用户平面节点处的密钥处理方法、相应的用户平面节点和控制平面节点以及包括它们的系统。
技术介绍
术语“5thGeneration”或“5G”指的是第五代移动通信技术,其与前四代不同,并不是一个单一的无线技术,而是现有的无线通信技术的一个融合。目前,作为第四代(4G)移动通信技术的长期演进(LongTermEvoluation或LTE)技术的峰值速率可以达到100Mbps,而5G的峰值速率将达到10Gbps,比4G提升了100倍。现有的4G网络处理能力有限,无法支持部分高清视频、高质量语音、增强现实、虚拟现实等业务。5G将引入更加先进的技术,通过更加高的频谱效率、更多的频谱资源以及更加密集的小区等共同满足移动业务流量增长的需求,解决4G网络面临的问题,构建一个高传输速率、高容量、低时延、高可靠性、优秀的用户体验的网络。如图1所示,在一个典型的5G架构中包含了5G的接入网和5G的核心网,用户设备(UserEquipment或UE)通过接入网和核心网与数据网络(例如,互联网)进行通信。在5G架构中,随着无线技术的发展需求,原本处于同一个基站上的功能模块被分离。一些功能模块越来越靠近用户,而其它的模块则被池组化、虚拟化并被集中部署。换言之,基站有可能被分成两部分,一部分是中央控制单元(CentralUnit或CU),另一部分是分布单元(DistributeUnit或DU)。DU更加靠近用户,而CU远离天线,可以支持多天线连接、改善网络性能。在一些场景中,一个CU可以连接多个DU,且CU上的功能可以虚拟化。如图2所示,CU和DU之间可通过F1接口连接。F1接口也被称作前向回传(fronthaul)接口或连接。通常在CU上实现无线资源控制(RadioResourceControl或RRC)、分组数据汇聚协议(PacketDataConvergenceProtocol或PDCP)等功能,而在DU上实现无线链路控制(RadioLinkControl或RLC)、媒体访问控制(MediaAccessControl或MAC)和物理层等功能。此外,如图2所示,中央控制单元CU可以进一步被划分成控制功能实体或节点(以下称为CU-CP节点或者CP(控制平面或ControlPlane)节点)和用户平面功能节点(以下称为CU-UP节点或者UP(用户平面或UserPlane)节点)。CP节点和UP节点可以是单独的物理节点,也可以是同一物理节点中的虚拟节点。CP和UP之间的接口被称为E1接口。CP和UP之间只有控制消息传输,而数据传输是在核心网、UP和DU之间进行的。CP通过NG-C接口和核心网(5GCorenetwork或5GC)连接,且通过F1-C接口和DU连接。UP通过NG-U接口和核心网(5GC)连接,且通过F1-U和DU连接。在该架构下,加密体系可分为非接入层加密和接入层加密。非接入层的加密是在核心网和UE之间进行,而接入层的加密算法是核心网计算一个基站密钥(KgNB)并发送给基站。包括UE支持的加密算法和/或完整性保护算法在内的UE能力信息也被发送给基站。基站根据KgNB和加密算法计算出用于数据(用户)平面通信的加密密钥(KUPenc)和/或完整性保护密钥(KUPint)以及用于控制平面通信的加密密钥(KRRCenc)和/或完整性保护密钥(KRRCint)。然后,基站可用KUPenc和/或KUPint对用户平面的数据进行加密和/或完整性保护,用KRRCenc和/或KRRCint对控制平面的RRC消息进行加密和/或完整性保护。如果基站分成了中央控制单元和分布单元两部分且中央控制单元进一步分为控制平面(CP)和用户平面(UP),则RRC消息可由CP处理且基站密钥也保存在CP上。在该情况下,对RRC的加密和/或完整性保护和以前一样。然而针对用户数据的处理则在UP上执行,因此需要在UP上对数据进行加密和/或完整性保护的方案。
技术实现思路
为了至少部分解决或减轻上述问题,提供了根据本公开实施例的在控制平面节点处和在用户平面节点处的密钥处理方法、相应的用户平面节点和控制平面节点以及包括它们的系统。根据本公开的第一方面,提供了一种密钥处理方法。该方法包括:向用户平面节点发送第一安全信息,所述第一安全信息使得所述用户平面节点能够确定用于用户平面通信的用户平面密钥;从所述用户平面节点接收响应于所述第一安全信息的响应信息;以及基于所述响应信息,向与所述用户平面节点相关联的用户设备发送第二安全信息或触发另一节点向所述用户设备发送第二安全信息,所述第二安全信息使得所述用户设备能够确定所述用户平面密钥。在一些实施例中,所述第一安全信息包括以下至少一项:所述用户平面密钥;由所述控制平面节点和所述用户平面节点共用的共用基站密钥;以及专用于所述用户平面节点的专用基站密钥。在一些实施例中,所述共用基站密钥是由所述控制平面节点从核心网节点或另一控制平面节点接收到的。在一些实施例中,所述专用基站密钥是由所述控制平面节点根据所述共用基站密钥或根据通信标准来生成的。在一些实施例中,所述用户平面密钥是由所述控制平面节点或所述用户平面节点基于所述共用基站密钥或所述专用基站密钥导出的。在一些实施例中,所述第二安全信息包括以下至少一项:为所述用户设备选择的加密算法和/或完整性保护算法;用于确定所述共用基站密钥的信息;用于确定所述专用基站密钥的信息;以及用于确定所述用户平面密钥的信息。在一些实施例中,所述方法还包括:从所述用户平面节点接收溢出指示,所述溢出指示指示了使用所述用户平面密钥的无线承载的分组数据汇聚协议(PDCP)序号要溢出。在一些实施例中,如果所述第一安全信息包括所述用户平面密钥或所述共用基站密钥,则所述方法还包括:发起针对与所述无线承载相关联的用户设备的小区内切换过程,以重新建立与所述用户设备的无线承载。在一些实施例中,如果所述第一安全信息包括所述专用基站密钥,则所述方法还包括:生成新的专用基站密钥;基于所述新的专用基站密钥,向所述用户平面节点发送第三安全信息,所述第三安全信息使得所述用户平面节点能够确定用于用户平面通信的新的用户平面密钥;以及向与所述无线承载相关联的用户设备发送第四安全信息,所述第四安全信息使得与所述无线承载相关联的用户设备能够确定所述新的专用基站密钥。在一些实施例中,如果所述第一安全信息包括所述用户平面密钥或所述共用基站密钥,则所述方法还包括:向另一控制平面节点发送溢出指示或请求释放所述无线承载的释放请求;从所述另一控制平面节点接收新的共用基站密钥;基于所述共用基站密钥,向所述用户平面节点发送第三安全信息,所述第三安全信息使得所述用户平面节点能够确定用于用户平面通信的新的用户平面密钥;以及向与所述无线承载相关联的用户设备发送或触发另一节点向与所述无线承载相关联的用户设备发送第四安全信息,所述第四安全信息使得与所述无线承载相关联的用户设备能够确定所述新的共用基站密钥。在一些实施例中,所述第三安全信息包括以下至少一项:所述新的用户平面密钥;由所述控制平面节点和所述用户平面节点共用的新的共用基站密钥;以及专用于所述用户平面节点本文档来自技高网...
【技术保护点】
1.一种密钥处理方法,包括:向用户平面节点发送第一安全信息,所述第一安全信息使得所述用户平面节点能够确定用于用户平面通信的用户平面密钥;从所述用户平面节点接收响应于所述第一安全信息的响应信息;以及基于所述响应信息,向与所述用户平面节点相关联的用户设备发送第二安全信息或触发另一节点向所述用户设备发送第二安全信息,所述第二安全信息使得所述用户设备能够确定所述用户平面密钥。
【技术特征摘要】
1.一种密钥处理方法,包括:向用户平面节点发送第一安全信息,所述第一安全信息使得所述用户平面节点能够确定用于用户平面通信的用户平面密钥;从所述用户平面节点接收响应于所述第一安全信息的响应信息;以及基于所述响应信息,向与所述用户平面节点相关联的用户设备发送第二安全信息或触发另一节点向所述用户设备发送第二安全信息,所述第二安全信息使得所述用户设备能够确定所述用户平面密钥。2.根据权利要求1所述的方法,其中,所述第一安全信息包括以下至少一项:所述用户平面密钥;由所述控制平面节点和所述用户平面节点共用的共用基站密钥;以及专用于所述用户平面节点的专用基站密钥。3.根据权利要求1或2所述的方法,其中,所述用户平面密钥对用户设备的多个用户平面是不同的,或者所述用户平面密钥对用户设备的多个用户平面是一样的。4.根据权利要求2所述的方法,其中,所述用户平面密钥是由所述控制平面节点或所述用户平面节点基于所述共用基站密钥或所述专用基站密钥导出的。5.根据权利要求2所述的方法,其中,所述第二安全信息包括以下至少一项:为所述用户设备选择的加密算法和/或完整性保护算法;用于确定所述用户平面密钥的信息;以及用于确定所述专用基站密钥和/或共用基站密钥的信息。6.根据权利要求2所述的方法,还包括:从所述用户平面节点接收溢出指示,所述溢出指示指示了使用所述用户平面密钥的无线承载的分组数据汇聚协议PDCP序号要溢出。7.根据权利要求6所述的方法,其中,如果所述第一安全信息包括所述用户平面密钥或所述共用基站密钥,则所述方法还包括:向另一控制平面节点发送溢出指示或请求释放所述无线承载的释放请求;从所述另一控制平面节点接收新的共用基站密钥;基于所述共用基站密钥,向所述用户平面节点发送第三安全信息,所述第三安全信息使得所述用户平面节点能够确定用于用户平面通信的新的用户平面密钥;以及向与所述无线承载相关联的用户设备发送或触发另一节点向与所述无线承载相关联的用户设备发送第四安全信息,所述第四安全信息使得与所述无线承载相关联的用户设备能够确定所述新的共用基站密钥。8.根据权利要求1所述的方法,还包括:向所述用户平面节点发送指示无线电链路控制RLC层的传输模式的信息。9.一种控制平面节点,包括:处理器;存储器,存储指令...
【专利技术属性】
技术研发人员:王弘,许丽香,汪巍崴,
申请(专利权)人:北京三星通信技术研究有限公司,三星电子株式会社,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。