密钥获取方法、装置、用户设备及网络侧设备制造方法及图纸

本申请公开了一种密钥获取方法、装置、用户设备及网络侧设备，属于通信领域，能够解决由于部分UE无法获取安全密钥，而导致的数据传输可靠性低的问题。该方法包括：第一UE向网络侧设备发送第一密钥信息，所述第一密钥信息用于指示第二UE的第一密钥；其中，所述第一密钥用于对所述第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。本申请应用于数据安全保护场景中。数据安全保护场景中。数据安全保护场景中。

【技术实现步骤摘要】
密钥获取方法、装置、用户设备及网络侧设备


[0001]本申请属于通信
，具体涉及一种密钥获取方法、装置、用户设备及网络侧设备。

技术介绍

[0002]目前，用户设备(User Equipment，UE)与网络侧设备之间进行数据传输时，可以开启或激活安全功能，例如，基于安全密钥对传输的数据执行加密/解密以及完整性保护/检查等安全操作，以提高UE与网络侧设备之间数据传输的安全性。通常情况下，为了安全考虑，安全密钥均不在空口传输，需要网络侧设备和UE根据本地存储的信息进行推导才可获得。
[0003]然而，由于部分UE并不能直接推导出安全密钥(例如，缺少SIM卡、UE能力不支持计算等)或者无法依靠自身在网络侧设备处推导出相同的安全密钥，从而无法对UE与网络侧设备间的数据进行安全保护。
[0004]如此，当这些UE需要与网络侧设备进行数据传输时，便无法保证这些数据的传输安全，进而导致UE与网络侧设备之间数据传输可靠性低。

技术实现思路

[0005]本申请实施例的目的是提供一种密钥获取方法、装置、用户设备及网络侧设备，能够解决由于部分UE无法获取安全密钥或者无法依靠自身在网络侧设备处推导出相同的安全密钥，而导致的数据传输可靠性低的问题。
[0006]为了解决上述技术问题，本申请是这样实现的：
[0007]第一方面，提供了一种密钥获取方法，应用于第一UE，所述方法包括：向网络侧设备发送第一密钥信息，所述第一密钥信息用于指示第二UE的第一密钥；其中，所述第一密钥用于对所述第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。
[0008]第二方面，提供了一种密钥获取装置，该装置包括：发送模块，用于向网络侧设备发送第一密钥信息，所述第一密钥信息用于指示第二用户设备UE的第一密钥；其中，所述第一密钥用于对所述第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。
[0009]第三方面，提供了一种密钥获取方法，应用于第二UE，所述方法包括：向第一UE发送代理请求；若接收到第一UE反馈的代理响应，则向所述第一UE发送目标密钥信息；其中，所述代理请求用于请求代理所述第二UE的安全过程；所述代理响应用于指示所述第一UE接受代理所述第二UE的安全过程；所述目标密钥信息用于指示所述第一密钥；所述第一密钥用于对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护。
[0010]第四方面，提供了一种密钥获取装置，该装置包括：发送模块，用于向第一UE发送代理请求；所述发送模块，还用于若接收到第一UE反馈的代理响应，则向所述第一UE发送目标密钥信息；其中，所述代理请求用于请求代理所述第二UE的安全过程；所述代理响应用于指示所述第一UE接受代理所述第二UE的安全过程；所述目标密钥信息用于指示所述第一密
钥；所述第一密钥用于对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护。
[0011]第五方面，提供了一种密钥获取方法，应用于网络侧设备，上述方法包括：从第一UE接收第一密钥信息；其中，上述第一密钥信息用于指示第二UE的第一密钥；上述第二UE的第一密钥用于对上述第二UE与上述网络侧设备通信时的数据进行加密和/或完整性保护。
[0012]第六方面，提供了一种密钥获取装置，该装置包括：接收模块，用于从第一UE接收第一密钥信息；其中，上述第一密钥信息用于指示第二UE的第一密钥；上述第二UE的第一密钥用于对上述第二UE与上述网络侧设备通信时的数据进行加密和/或完整性保护。
[0013]第七方面，提供了一种UE，该UE包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面或第三方面所述的方法的步骤。
[0014]第八方面，提供了一种网络侧设备，该网络侧设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第五方面所述的方法的步骤。
[0015]第九方面，提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面或第二方面所述的方法的步骤。
[0016]第十方面，提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行网络侧设备程序或指令，实现如第一方面所述的方法，或实现如第二方面所述的方法。
[0017]在本申请实施例中，为了保证对空口传输的数据和/或信令进行加密和/或完整性保护，第二UE通过借助第一UE来向网络侧设备上报第二UE的安全密钥的全部或部分信息，从而使得第二UE能够使用该安全密钥对该第二UE与网络侧设备通信时的数据进行加密/解密和完整性保护/检查，从而有效地保证了该第二UE与网络侧设备间通信的可靠性。
附图说明
[0018]图1为本申请实施例提供的一种可能的通信系统架构示意图；
[0019]图2为本申请实施例提供的一种密钥获取方法的流程示意图之一；
[0020]图3为本申请实施例提供的一种密钥获取方法的流程示意图之二；
[0021]图4为本申请实施例提供的一种密钥获取装置的结构示意图之一；
[0022]图5为本申请实施例提供的一种密钥获取装置的结构示意图之二；
[0023]图6为本申请实施例提供的一种密钥获取装置的结构示意图之三；
[0024]图7为本申请实施例提供的一种通信设备的硬件结构示意图；
[0025]图8为本申请实施例提供的一种终端的硬件结构示意图；
[0026]图9为本申请实施例提供的一种网络侧设备的硬件结构示意图。
具体实施方式
[0027]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0028]以下将对本申请实施例涉及的术语进行说明。
[0029]1、AS安全机制
[0030]LTE和NR系统中，加密以及完整性保护功能分别用于保证空口传输给UE的数据和/或信令不被窃听、篡改。具体而言，是对DRB、SRB或其上承载的信息进行加密和/或完整性保护。其中，LTE和NR中AS层的加密和/或完整性保护都是在PDCP层实现的，RRC层负责进行安全参数、安全算法的配置，安全功能的激活。
[0031]2、加密
[0032]加密过程包括加密和解密。发送端设备(下行为基站，上行为UE)使用加密算法生成密钥流，用密钥流和明文进行位对位的二进制加法得到密文。其中，上述密钥流可以由以下信息组成：128bit的密钥(key)、32bit的COUNT值、5bit的BEARER(无线承载标识)、1bit的DIRECTION(用于指示该条信息的传输方向为上行/下行)、32bit的LENGT本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密钥获取方法，应用于第一用户设备UE，其特征在于，所述方法包括：向网络侧设备发送第一密钥信息，所述第一密钥信息用于指示第二UE的第一密钥；其中，所述第二UE的第一密钥用于对所述第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。2.根据权利要求1所述的方法，其特征在于，所述向网络侧设备发送第一密钥信息之前，所述方法还包括：从所述第二UE获取所述第二UE的第一密钥的全部或部分信息。3.根据权利要求2所述的方法，其特征在于，所述第一密钥信息包括：所述第二UE的第一密钥的全部或部分信息；或者，所述第二UE的第一密钥的全部或部分信息以及所述第二UE的UE标识。4.根据权利要求1所述的方法，其特征在于，所述向网络侧设备发送第一密钥信息之前，所述方法还包括：根据目标信息和输入参数，计算所述第二UE的第一密钥；其中，所述目标信息包括：第一信息或所述第一UE的安全密钥；所述第一信息为所述第一UE和所述第二UE中保存的相同参数或相关参数；所述第一UE的安全密钥包括：第一子密钥或第二子密钥；所述第一子密钥为与第一接入网网元相关的密钥；所述第二子密钥为与第二接入网网元相关的密钥；所述输入参数包括以下至少一项：目标参数，所述第二UE所在小区的PCI，所述第二UE所在小区的频点信息，所述第二UE的设备信息；所述目标参数包括以下至少一项：计数器、随机数、序列。5.根据权利要求4所述的方法，其特征在于，在所述目标信息为所述第一信息的情况下，所述第一密钥信息包括以下至少一项：所述第一密钥，所述输入参数，所述第二UE的UE标识，所述第一信息；或，在所述目标信息为所述第一UE的安全密钥的情况下，所述第一密钥信息包括以下至少一项：所述第一密钥，所述输入参数，所述第二UE的UE标识，第一指示信息；其中，所述第一指示信息用于指示使用所述第一UE的安全密钥生成所述第二UE的第一密钥。6.根据权利要求1所述的方法，其特征在于，所述向网络侧设备发送第一密钥信息之前，所述方法还包括：从所述第二UE接收密钥请求，所述密钥请求用于请求使用所述第一UE的安全密钥对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护；所述安全密钥包括：第一子密钥或第二子密钥；所述第一子密钥为与第一接入网网元相关的密钥，所述第二子密钥为与第二接入网网元相关的密钥；根据所述密钥请求，将所述第一UE的安全密钥作为所述第二UE的第一密钥。7.根据权利要求6所述的方法，其特征在于，所述第一密钥信息包括以下至少一项：第二指示信息，所述第二UE的UE标识；其中，所述第二指示信息用于指示使用所述第一UE的安全密钥对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护。8.根据权利要求1所述的方法，其特征在于，所述向网络侧设备发送第一密钥信息之前，所述方法还包括：从所述第二UE接收代理请求，所述代理请求用于请求代理所述第二UE的安全过程；
向所述第二UE发送代理响应，所述代理响应用于指示所述第一UE接受代理所述第二UE的安全过程。9.根据权利要求8所述的方法，其特征在于，所述从所述第二UE接收代理请求之前，所述方法还包括：发送第二信息，所述第二信息用于指示所述第一UE具备代理其他UE的安全过程的能力。10.根据权利要求1所述的方法，其特征在于，所述向网络侧设备发送第一密钥信息之后，所述方法还包括：在满足第一条件情况下，向所述网络侧设备或第二UE发送第二密钥信息，所述第二密钥信息用于指示更新后的所述第二UE的第一密钥。11.根据权利要求10所述的方法，其特征在于，所述第一条件包括以下至少一项：所述第二UE的第一密钥变更，用于计算所述第二UE的第一密钥的信息变更。12.根据权利要求4或6所述的方法，其特征在于，所述向网络发送第一密钥信息之后，所述方法还包括：向所述第二UE发送所述第二UE的第一密钥。13.一种密钥获取方法，其特征在于，应用于第二UE，所述方法包括：向第一UE发送代理请求；若接收到第一UE反馈的代理响应，则向所述第一UE发送目标密钥信息；其中，所述代理请求用于请求代理所述第二UE的安全过程；所述代理响应用于指示所述第一UE接受代理所述第二UE的安全过程；所述目标密钥信息用于指示所述第二UE的第一密钥；所述第二UE的第一密钥用于对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护。14.根据权利要求13所述的方法，其特征在于，所述目标密钥信息包括：所述第一密钥的全部或部分信息，或者，密钥请求；其中，所述密钥请求用于请求使用所述第一UE的安全密钥对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护；所述第一UE的安全密钥包括：第一子密钥或第二子密钥；所述第一子密钥为与第一接入网网元相关的密钥，所述第一子密钥为与第二接入网网元相关的密钥。15.根据权利要求13所述的方法，其特征在于，所述向第一UE发送代理请求之前，所述方法还包括：从所述第一UE接收第二信息，所述第二信息用于指示所述第一UE具备代理其他UE的安全过程的能力。16.根据权利要求13所述的方法，其特征在于，所述向第一UE发送所述第二UE的第一密钥之后，所述方法还包括：在满足第一条件的情况下，向网络侧设备和/或所述第一UE发送第三密钥信息，所述第三密钥信息用于指示更新后的所述第二UE的第一密钥。17.根据权利要求16所述的方法，其特征在于，所述第一条件包括以下至少一项：所述第二UE的第一密钥变更，用于计算所述第二UE的第一密钥的信息变更。18...

【专利技术属性】
技术研发人员：蒲文娟，杨晓东，鲍炜，刘选兵，秦飞，
申请(专利权)人：维沃移动通信有限公司，
类型：发明
国别省市：