一种密钥隔离方法及设备技术

本发明专利技术公开了密钥隔离方法及设备。该方法包括：宏基站在判决对用户设备的用户面承载进行切换后，根据用于将目标基站区别于其它基站的参数，以及所述宏基站与所述用户设备共享的临时密钥，生成所述目标基站与所述用户设备通信时使用的密钥；所述宏基站将所述参数发送给所述用户设备，以使所述用户设备根据所述参数以及所述用户设备与所述宏基站共享的临时密钥，生成所述用户设备与所述目标基站通信时使用的密钥。采用本发明专利技术可在承载分离网络中实现基站间的密钥隔离，以保证用户设备通信安全。

【技术实现步骤摘要】
一种密钥隔离方法及设备
本专利技术涉及无线通信领域，尤其涉及一种应用于承载分离网络的密钥隔离方法及设备。
技术介绍
传统的宏基站（macroeNB）单层覆盖网络已经不能满足人们对数据业务速率和容量不断增长的需求。因此，分层组网的方式被引入来解决该问题：通过在热点区域、家庭室内环境、办公环境等小覆盖环境布设一些低功率的基站（下面以localeNB表示，即本地基站，包括Femto/Pico/Relay等形式），获得小区分裂的效果，使得运营商能够为用户提供更高数据速率、更低成本的业务。分层组网在增加网络容量的同时，也带来了一定的负作用：由于低功率基站小区（下面以小小区表示）的覆盖范围小，使得UE（UserEquipment，用户设备）的切换频率和次数都大大增加，增加了UE在进行切换时发生通信中断的风险。为了降低UE在宏小区和本地小小区之间进行切换的频率，一种用户面和控制面分离的网络部署方式被引入。如图1所示，宏小区提供基础覆盖，本地小小区提供热点覆盖，小小区与宏小区之间存在数据/信令接口（有线/无线接口），UE可以工作在宏小区或本地小小区下。由于本地基站控制的小区覆盖范围小，服务的UE少，所以，连接到本地基站的UE往往能获得更好的服务质量，如：获得更高的业务速率，更高质量的链路。因此，当连接到宏基站的UE接近本地基站控制的小区时，可以将用户面转移到本地基站以获得本地基站提供的服务；当UE远离本地基站控制的小区时，需要将用户面转换到宏基站控制的小区，以保持无线连接。在以上承载分离的网络架构下，当UE在只有宏小区覆盖的区域，UE的控制面连接和用户面连接（即DRB：DataRadioBearer，数据无线承载）都在宏基站；当UE移动到宏小区和本地小小区重叠覆盖区域时，UE的全部或者部分用户面连接（DRB）被转移到本地基站，以获得更高的业务传输速率，控制面连接仍然保持在宏基站，以防止控制面连接切换失败造成UE掉话。图2示出了一种采用控制面与用户面分离技术的网络架构，UE同时连接到两个eNB，图中M-L接口表示macroeNB与localeNB之间的逻辑接口，可以是新定义的，也可以利用已经标准化的X2接口。UE的SRB（SignallingRadioBearer，信令无线承载）保留在macroeNB上，而所有或部分DRB的PDCP（PacketDataConvergenceProtocol，分组数据汇聚协议）/RLC（RadioLinkControl，无线连接控制）/MAC（MediaAccessControl，媒体接入控制）/PHY（Physicallayer，物理层）部分保持在localeNB上。UE的上行数据到达localeNB之后直接发往SGW（服务网关），UE的下行数据到达SGW之后直接发往localeNB，从而减少了macroeNB对UE数据包的处理负担。在图2所示的架构中，localeNB具有完整的用户面协议栈，图3示出了UE与localeNB之间的用户面协议栈。图4示出了另一种采用控制面与用户面分离技术的网络架构。该架构下，macroeNB具有完整的用户面和控制面协议栈，其与UE之间的用户面和控制面协议栈如图3所示。localeNB具有完整的用户面协议栈，以及部分RRC（RadioResourceControl，无线资源控制）协议功能。localeNB的用户面协议栈也如图3所示，而控制面协议栈如图5所示，其中“SubRRC层”表示只含有部分RRC功能的协议栈，例如仅包含无线资源管理功能。在图2和图3所示的两种采用控制面与用户面分离技术的网络架构下，localeNB上存在PDCP层，因此localeNB需要获得UE的加密密钥。对于图2所示架构，localeNB还需要获得对RRC消息进行完整性保护的密钥。假设一个macroeNB覆盖范围内部署了多个localeNB，并且有可能localeNB之间存在重叠覆盖区，那么UE有可能在localeNB之间进行切换，或是在macroeNB和localeNB之间进行切换。localeNB作为一个不安全的接入网节点，有可能被黑客攻破。为了保证某个localeNB被攻破后不影响UE在其他基站（包括macroeNB和其它localeNB）上的通信安全，需要在localeNB之间以及macroeNB和localeNB之间进行密钥隔离，但目前还没有机制能够解决该问题。
技术实现思路
本专利技术实施例提供了一种密钥隔离方法及设备，用以在承载分离网络中实现基站间的密钥隔离，以保证用户设备通信安全。本专利技术实施例提供的密钥隔离方法，包括：宏基站在判决对用户设备的用户面承载进行切换后，根据用于将目标基站区别于其它基站的参数，以及所述宏基站与所述用户设备共享的临时密钥，生成所述目标基站与所述用户设备通信时使用的密钥；所述宏基站将所述参数发送给所述用户设备，以使所述用户设备根据所述参数以及所述用户设备与所述宏基站共享的临时密钥，生成所述用户设备与所述目标基站通信时使用的密钥。本专利技术实施例提供的宏基站设备，包括：切换判决模块、密管理模块、密钥生成模块和第一发送模块，其中：切换判决模块，用于对用户设备进行用户面承载切换判决；密钥管理模块，用于在所述切换判决模块判决对用户设备进行用户面承载切换时，向所述密钥生成模块发送生成密钥的指示，并向所述第一发送模块发送传输所述参数的指示；密钥生成模块，用于按照所述密钥管理模块的指示，根据用于将目标基站区别于其它基站的参数，以及所述宏基站与所述用户设备共享的临时密钥，生成所述目标基站与所述用户设备通信时使用的密钥；第一发送模块，用于根据所述密钥管理模块的指示，将所述参数发送给所述用户设备，以使所述用户设备根据所述参数以及所述用户设备与所述宏基站共享的临时密钥，生成所述用户设备与所述目标基站通信时使用的密钥。本专利技术的上述实施例在承载分离的网络中，当用户设备的用户面承载在基站间进行切换时，由于宏基站在为目标基站生成空口会话密钥时，使用了该目标基站区别于其它基站的参数，因此，能够保证宏基站为不同的基站所生成的空口会话密钥各不相同，从而实现基站间的密钥隔离。附图说明图1为现有技术中的用户面和控制面分离的网络架构示意图；图2为现有技术中的一种控制面和用户面分离架构的接口关系示意图；图3为现有技术中控制面和用户面分离架构的localeNB用户面协议栈；图4为现有技术中的另一种控制面和用户面分离架构的接口关系示意图；图5为现有技术中控制面和用户面分离架构的localeNB控制面协议栈；图6为本专利技术实施例提供的用户切换过程中的密钥隔离流程示意图；图7为本专利技术实施例一提供的用户切换过程中的密钥隔离流程示意图；图8为本专利技术实施例二提供的用户切换过程中的密钥隔离流程示意图；图9为本专利技术实施例提供的基站设备的结构示意图。具体实施方式为了针对承载分离（主要是控制面和用户面分离）的网络架构，在UE切换时实现密钥隔离，以保证UE通信安全，本专利技术实施例中，当UE更换接入基站（包括localeNB或是macroeNB）时，UE和基站引入新的参数（该参数可用于将基站与其它基站相区别），并结合同一个KeNB（KeNB为用于生成空口会话密钥的临时密钥）对不同的接入基站推导出不同的空口会话密钥，从而本文档来自技高网...

【技术保护点】
一种密钥隔离方法，其特征在于，该方法包括：宏基站在判决对用户设备的用户面承载进行切换后，根据用于将目标基站区别于其它基站的参数，以及所述宏基站与所述用户设备共享的临时密钥，生成所述目标基站与所述用户设备通信时使用的密钥；所述宏基站将所述参数发送给所述用户设备，以使所述用户设备根据所述参数以及所述用户设备与所述宏基站共享的临时密钥，生成所述用户设备与所述目标基站通信时使用的密钥。

【技术特征摘要】
1.一种密钥隔离方法，其特征在于，该方法包括：宏基站在判决对用户设备的用户面承载进行切换后，根据用于将目标基站区别于其它基站的参数，以及所述宏基站与所述用户设备共享的临时密钥，生成所述目标基站与所述用户设备通信时使用的密钥；所述宏基站将所述参数发送给所述用户设备，以使所述用户设备根据所述参数以及所述用户设备与所述宏基站共享的临时密钥，生成所述用户设备与所述目标基站通信时使用的密钥；其中，所述根据用于将目标基站区别于其它基站的参数，以及所述宏基站与所述用户设备共享的临时密钥，生成所述目标基站与所述用户设备通信时使用的密钥，包括：利用所述宏基站与所述用户设备共享的临时密钥、用于将目标基站区别于其它基站的参数以及加密算法，计算出所述目标基站与所述用户设备通信时使用的密钥；且所述用户设备根据所述参数以及所述用户设备与所述宏基站共享的临时密钥，生成所述用户设备与所述目标基站通信时使用的密钥，包括：所述用户设备利用所述宏基站与所述用户设备共享的临时密钥、用于将目标基站区别于其它基站的参数以及所述加密算法，计算出所述用户设备与所述目标基站通信时使用的密钥；若所述宏基站判决将用户设备的用户面承载从所述宏基站切换到目标本地基站，或者判决将用户设备的用户面承载从当前所在的本地基站切换到目标本地基站，则所述宏基站在生成所述密钥后，还包括将生成的密钥发送到目标本地基站的步骤；若所述宏基站判决将用户设备的部分用户面承载从所述宏基站切换到目标本地基站，则该方法还包括：所述宏基站根据用于将所述目标本地基站区别于其它基站的参数，以及所述宏基站与所述用户设备共享的临时密钥，生成所述宏基站与所述用户设备通信时使用的密钥；所述用户设备还将其生成的密钥用于与所述宏基站进行通信的过程；或者，所述宏基站根据所述宏基站与所述用户设备共享的临时密钥，生成所述宏基站与所述用户设备通信时使用的密钥；所述用户设备根据所述用户设备与所述宏基站共享的临时密钥，生成所述用户设备站与所述宏基站通信时使用的密钥；其中，所述宏基站具有完整的用户面和控制面协议栈，所述目标本地基站具有完整的用户面协议栈，以及部分无线资源控制RRC协议功能。2.如权利要求1所述的方法，其特征在于，若所述宏基站还判决将所述用户设备的部分控制面承载切换到目标本地基站，则所述宏基站所生成的密钥包括加密密钥和完整性保护密钥。3.如权利要求1所述的方法，其特征在于，所述宏基站将生成的密钥携带于用户面切换请求消息或新定义的消息，发送给所述目标本地基站。4.如权利要求1所述的方法，其特征在于，若所述宏基站判决将所述用户设备的用户面承载从本地基站切换到所述宏基站，且在切换前，所述本地基站上存在所述用户设备的部分控制面承载，则所述宏基站还将该部分控制面承载切换到所述宏基站上，所述宏基站所生成的密钥包括加密密钥和完整性保护密钥。5.如权利要求1-4之一所述的方法，其特征在于，所述宏基站将所述参数携带于用户面切换命令发送给所述用户设备。6.如权利要求1-4之一所述的方法，其特征在于，所述参数为所述宏基站生成的随机数，或者为能够唯一区分所述宏基站的信息。7.一种宏基站设备，其特征在于，包括：切换判决模块、密钥管理模块、密钥生成模块和第一发送模块，其中：切换判决模块，用于对用户设备进行用户面承载切换判决；密钥管理模块，用于在所述切换判决模块判决对用户设备进行用户面承...

【专利技术属性】
技术研发人员：杨义，梁靖，
申请(专利权)人：电信科学技术研究院，
类型：发明
国别省市：北京;11