接入层的内生安全的实现方法及设备技术

一种接入层的内生安全的实现方法及设备，该方法包括：根据目标终端的终端行为和/或上下行数据，判断所述目标终端是否出现异常；在所述目标终端出现异常的情况下，触发所述目标终端所接入的目标接入点对所述目标终端进行密钥更新。本发明专利技术实施例提供的接入层的内生安全的实现方法及设备，通过监控终端在无线网络中的行为，分析发现终端异常行为，以及，通过对终端数据的分析，发现终端数据包的异常特征，实现对异常终端的密钥更新的触发，从而能够防止虚假终端的恶意使用或者触发RAN正常的信令或者数据收发流程，提升了无线接入网的安全性。性。性。

【技术实现步骤摘要】
接入层的内生安全的实现方法及设备


[0001]本专利技术涉及移动通信
，具体涉及一种接入层的内生安全的实现方 法及设备。

技术介绍

[0002]在第六代移动通信(6G)系统中，内生安全成为无线网络的重要特征之 一。如何在6G无线系统中实现安全内生，成为其要解决的一个主要问题。
[0003]目前，如何在无线系统中实现安全内生还没有解决方案。在5G系统中安 全方面的问题是加密的密钥与物理小区ID(Physical Cell ID)相绑定，因此， 当终端(UE)因位置移动而发生切换时，需要更换密钥。随着空口物理小区 的密度不断增加，小区覆盖的范围不断缩小，终端可能发生频繁的切换，从而 导致安全系统频繁的启动密钥更新，造成很大的系统开销。上述系统开销不仅 包括信令频繁发送以及信令可靠性方面的开销，还会造成UE与网络建立连接 时的功耗开销、业务中断等方面的问题。
[0004]随着6G系统的引入，小区密度会进一步的增加，小区覆盖范围进一步的 缩小，现有技术的无线接入网本身的密钥管理、分配和控制机制，难以适应 6G系统，因此，需要一种能够实现具有内生安全功能的无线网络的新机制。

技术实现思路

[0005]本专利技术的至少一个实施例提供了一种接入层的内生安全的实现方法及设 备，能够实现无线接入网的内生安全。
[0006]根据本专利技术的一个方面，至少一个实施例提供了一种接入层AS的内生安 全的实现方法，应用于无线接入网的集中单元或终端，包括：
[0007]根据目标终端的终端行为和/或上下行数据，判断所述目标终端是否出现 异常；
[0008]在所述目标终端出现异常的情况下，触发所述目标终端所接入的目标接入 点对所述目标终端进行密钥更新。
[0009]此外，根据本专利技术的至少一个实施例，根据目标终端的终端行为和/或上 下行数据，判断所述目标终端是否出现异常，包括以下至少一种：
[0010]利用所述目标终端对应的信令和无线资源分配模型，对所述目标终端的终 端行为进行检测，判断所述目标终端是否出现异常；
[0011]对所述目标终端的上下行数据包进行分析监测，判断所述目标终端是否出 现异常。
[0012]此外，根据本专利技术的至少一个实施例，在利用所述目标终端对应的信令和 无线资源分配模型，对所述目标终端进行行为检测之前，还包括：
[0013]根据RRC功能体记录的所述目标终端的RRC信令、无线资源管理RRM 功能体存储的目标终端的上下文信息和目标终端的无线资源分配信息中的至 少一种，与正常终端的信令和无线资源分配模型相匹配，建立所述目标终端对 应的信令和无线资源分配模型。
[0014]此外，根据本专利技术的至少一个实施例，所述终端行为包括以下至少一种：
[0015]申请或者触发RRC信令流程的原因、频度、信令中的参数取值；
[0016]RRM记录的用户上下文信息；
[0017]RRM算法的输入参数；
[0018]RRM算法计算得到的参数；
[0019]RRM记录的终端移动轨迹；
[0020]RRM记录的终端申请的业务类型。
[0021]此外，根据本专利技术的至少一个实施例，对所述目标终端的上下行数据包进 行分析监测，判断所述目标终端是否出现异常，包括：
[0022]针对所述目标终端的单个数据包进行分析，和/或，针对所述目标终端的 一组数据包进行统计分析，并与预先获得的所述目标终端的QoS模型进行匹 配，判断所述目标终端是否出现异常。
[0023]此外，根据本专利技术的至少一个实施例，所述触发所述目标终端所接入的目 标接入点对所述目标终端进行密钥更新，包括：
[0024]触发重新建立所述目标接入点与目标终端之间的远端链路；
[0025]在远端链路重建成功之后，判断所述异常是否仍然存在；
[0026]在所述异常仍然存在的情况下，触发RRC层对所述目标终端的接入层AS 链路进行密钥更新。
[0027]此外，根据本专利技术的至少一个实施例，触发RRC层对所述目标终端的接 入层AS链路进行密钥更新，包括：
[0028]产生所述目标终端的更新密钥，向所述目标接入点发送携带有所述更新密 钥的密钥更新消息。
[0029]根据本专利技术的另一方面，至少一个实施例提供了一种接入层AS的内生安 全的实现方法，应用于无线接入网的接入点，包括：
[0030]确定本接入点下的目标终端是否出现异常；
[0031]在所述目标终端出现异常的情况下，对所述目标终端进行密钥更新。
[0032]此外，根据本专利技术的至少一个实施例，所述确定本接入点下的目标终端是 否出现异常，包括：
[0033]在接收到无线接入网的集中单元发送的针对目标终端的密钥更新消息的 情况下，确定所述目标终端出现异常。
[0034]此外，根据本专利技术的至少一个实施例，所述确定本接入点下的目标终端是 否出现异常，包括：
[0035]在建立本接入的与目标终端之间的连接后，根据所述目标终端的上下行资 源的调度信息，确定所述目标终端是否出现异常。
[0036]此外，根据本专利技术的至少一个实施例，在所述目标终端的上下行资源的调 度信息满足以下至少一种时，确定所述目标终端出现异常：
[0037]所述目标终端上报的数据量与其申请的业务模型对应的数据量的偏差查 超出第一门限；
[0038]所述目标终端上报数据量的频次超出第二门限；
[0039]所述目标终端的信道质量在预设时间内均低于预设质量门限；
[0040]上行调度的无线资源上传输的数据接收错误的频次超出第三门限；
[0041]接收到所述目标终端上报的数据安全风险警告。
[0042]此外，根据本专利技术的至少一个实施例，对所述目标终端进行密钥更新，包 括：
[0043]重新建立所述目标接入点与目标终端之间的远端链路；
[0044]在远端链路重建成功之后，判断所述异常是否仍然存在；
[0045]在所述异常仍然存在的情况下，触发RRC层对所述目标终端的接入层AS 链路进行密钥更新。
[0046]此外，根据本专利技术的至少一个实施例，触发RRC层对所述目标终端的AS 链路进行密钥更新，包括：
[0047]通过MAC CE或下行控制信息DCI，向所述目标终端发送更新后的密钥。
[0048]此外，根据本专利技术的至少一个实施例，所述更新后的密钥是从与平台接收 到的，或者是所述接入点的MAC层生成的。
[0049]此外，根据本专利技术的至少一个实施例，向所述目标终端发送更新后的密钥， 包括：
[0050]将所述更新后的密钥拆分为至少两个密钥分段；
[0051]通过MAC CE或下行控制信息DCI，依次发送所述至少两个密钥分段中 的各个密钥分段，其中：
[0052]在发送首个密钥分段时，利用所述目标终端的终端标识，对所述首个分段 进行加密处理，得到加密后的密钥分段并发送本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种接入层AS的内生安全的实现方法，应用于无线接入网的集中单元或终端，其特征在于，包括：根据目标终端的终端行为和/或上下行数据，判断所述目标终端是否出现异常；在所述目标终端出现异常的情况下，触发所述目标终端所接入的目标接入点对所述目标终端进行密钥更新。2.如权利要求1所述的方法，其特征在于，根据目标终端的终端行为和/或上下行数据，判断所述目标终端是否出现异常，包括以下至少一种：利用所述目标终端对应的信令和无线资源分配模型，对所述目标终端的终端行为进行检测，判断所述目标终端是否出现异常；对所述目标终端的上下行数据包进行分析监测，判断所述目标终端是否出现异常。3.如权利要求2所述的方法，其特征在于，在利用所述目标终端对应的信令和无线资源分配模型，对所述目标终端进行行为检测之前，还包括：根据RRC功能体记录的所述目标终端的RRC信令、无线资源管理RRM功能体存储的目标终端的上下文信息和目标终端的无线资源分配信息中的至少一种，与正常终端的信令和无线资源分配模型相匹配，建立所述目标终端对应的信令和无线资源分配模型。4.如权利要求2所述的方法，其特征在于，所述终端行为包括以下至少一种：申请或者触发RRC信令流程的原因、频度、信令中的参数取值；RRM记录的用户上下文信息；RRM算法的输入参数；RRM算法计算得到的参数；RRM记录的终端移动轨迹；RRM记录的终端申请的业务类型。5.如权利要求2所述的方法，其特征在于，对所述目标终端的上下行数据包进行分析监测，判断所述目标终端是否出现异常，包括：针对所述目标终端的单个数据包进行分析，和/或，针对所述目标终端的一组数据包进行统计分析，并与预先获得的所述目标终端的QoS模型进行匹配，判断所述目标终端是否出现异常。6.如权利要求1所述的方法，其特征在于，所述触发所述目标终端所接入的目标接入点对所述目标终端进行密钥更新，包括：触发重新建立所述目标接入点与目标终端之间的远端链路；在远端链路重建成功之后，判断所述异常是否仍然存在；在所述异常仍然存在的情况下，触发RRC层对所述目标终端的接入层AS链路进行密钥更新。7.如权利要求6所述的方法，其特征在于，触发RRC层对所述目标终端的接入层AS链路进行密钥更新，包括：产生所述目标终端的更新密钥，向所述目标接入点发送携带有所述更新密钥的密钥更新消息。8.一种接入层AS的内生安全的实现方法，应用于无线接入网的接入点，其特征在于，包括：
确定本接入点下的目标终端是否出现异常；在所述目标终端出现异常的情况下，对所述目标终端进行密钥更新。9.如权利要求8所述的方法，其特征在于，所述确定本接入点下的目标终端是否出现异常，包括：在接收到无线接入网的集中单元发送的针对目标终端的密钥更新消息的情况下，确定所述目标终端出现异常。10.如权利要求8所述的方法，其特征在于，所述确定本接入点下的目标终端是否出现异常，包括：在建立本接入的与目标终端之间的连接后，根据所述目标终端的上下行资源的调度信息，确定所述目标终端是否出现异常。11.如权利要求10所述的方法，其特...

【专利技术属性】
技术研发人员：孙军帅，王莹莹，李娜，刘光毅，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：