[go: up one dir, main page]

CN112690010B - 一种密钥信息处理方法和接入网络节点、终端设备 - Google Patents

一种密钥信息处理方法和接入网络节点、终端设备 Download PDF

Info

Publication number
CN112690010B
CN112690010B CN201980060409.3A CN201980060409A CN112690010B CN 112690010 B CN112690010 B CN 112690010B CN 201980060409 A CN201980060409 A CN 201980060409A CN 112690010 B CN112690010 B CN 112690010B
Authority
CN
China
Prior art keywords
access network
network node
node
encryption key
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201980060409.3A
Other languages
English (en)
Other versions
CN112690010A (zh
Inventor
王淑坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Oppo Mobile Telecommunications Corp Ltd
Original Assignee
Guangdong Oppo Mobile Telecommunications Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Oppo Mobile Telecommunications Corp Ltd filed Critical Guangdong Oppo Mobile Telecommunications Corp Ltd
Publication of CN112690010A publication Critical patent/CN112690010A/zh
Application granted granted Critical
Publication of CN112690010B publication Critical patent/CN112690010B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/08Load balancing or load distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例公开了一种秘钥信息处理方法和接入网络节点、终端。所述方法包括:第一接入网络节点确定与第二接入网络节点相关的安全信息;所述第一接入网络节点为与终端连接的主节点;第二接入网络节点为与所述终端连接的辅节点;所述终端配置有一个所述第一接入网络节点和至少两个所述第二接入网络节点;所述第一接入网络节点基于所述安全信息和基础密钥确定第一加密密钥,发送所述第一加密密钥至所述第二接入网络节点;所述基础密钥为所述第一接入网络节点对应的密钥。

Description

一种密钥信息处理方法和接入网络节点、终端设备
技术领域
本申请涉及无线通信技术领域,具体涉及一种密钥信息处理方法和接入网络节点、终端设备。
背景技术
在双连接(Dual Connectivity,DC)技术中,只有一个主节点(Master Node,MN)和一个辅节点(Secondary Node,SN)。配置多个SN的场景的好处在于提高数据速率,提高移动性能等等。然而,针对多个SN的场景,如何进行密钥的衍生和管理,目前尚无有效解决方案。
发明内容
本申请实施例提供了一种密钥信息处理方法和接入网络节点、终端设备。
第一方面,本申请实施例提供的密钥信息处理方法,所述方法包括:第一接入网络节点确定与第二接入网络节点相关的安全信息;所述第一接入网络节点为与终端连接的主节点;第二接入网络节点为与所述终端连接的辅节点;所述终端配置有所述第一接入网络节点和至少两个所述第二接入网络节点;所述第一接入网络节点基于所述安全信息和/或基础密钥确定第一加密密钥,发送所述第一加密密钥至所述第二接入网络节点;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一加密密钥与所述第二接入网络节点相关。
第二方面,本申请实施例提供的密钥信息处理方法,所述方法包括:第二接入网络节点接收所述第一接入网络节点发送的第一加密密钥;所述第一加密密钥基于与所述第二接入网络节点相关的安全信息和/或基础密钥确定;所述第一加密密钥与所述第二接入网络节点相关;所述第一接入网络节点为与终端连接的主节点;第二接入网络节点为与所述终端连接的辅节点;所述终端配置有第一接入网络节点和至少两个第二接入网络节点;所述第二接入网络节点基于所述第一加密密钥确定用于加密和完整性保护的第二加密密钥。
第三方面,本申请实施例提供的密钥信息处理方法,所述方法包括:终端设备获得第一接入网络节点分配的第一安全信息,基于所述第一安全信息和/或基础密钥确定第一加密密钥;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一安全信息与第二接入网络节点相关;所述第一加密密钥与所述第二接入网络节点相关;所述终端设备获得所述第二接入网络节点分配的第二安全信息,基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的第二加密密钥;所述第二安全信息与第二接入网络节点相关;其中,所述终端配置有第一接入网络节点和至少两个第二接入网络节点。
第四方面,本申请实施例提供的第一接入网络节点,所述节点包括:第一确定单元、第二确定单元和第一通讯单元;其中,所述第一确定单元,配置为确定与第二接入网络节点相关的安全信息;所述第二确定单元,配置为基于所述安全信息和/或基础密钥确定第一加密密钥;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一加密密钥与所述第二接入网络节点相关;所述第一通讯单元,配置为发送所述第一加密密钥至所述第二接入网络节点;其中,所述第一接入网络节点为与终端连接的主节点;第二接入网络节点为与所述终端连接的辅节点;所述终端配置有所述第一接入网络节点和至少两个所述第二接入网络节点。
第五方面,本申请实施例提供的第二接入网络节点,所述节点包括:第二通讯单元和第三确定单元;其中,所述第二通讯单元,配置为接收所述第一接入网络节点发送的第一加密密钥;所述第一加密密钥基于与所述第二接入网络节点相关的安全信息和/或基础密钥确定;所述第一加密密钥与所述第二接入网络节点相关;所述第三确定单元,配置为基于所述第一加密密钥确定用于加密和完整性保护的第二加密密钥;其中,所述第一接入网络节点为与终端连接的主节点;第二接入网络节点为与所述终端连接的辅节点;所述终端配置有第一接入网络节点和至少两个第二接入网络节点。
第六方面,本申请实施例提供的终端设备,所述终端设备包括:第三通讯单元和第四确定单元;其中,所述第三通讯单元,配置为获得第一接入网络节点分配的第一安全信息;所述第一安全信息与第二接入网络节点相关;还配置为获得第二接入网络节点分配的第二安全信息;所述第二安全信息与第二接入网络节点相关;所述第四确定单元,配置为基于所述第一安全信息和/或基础密钥确定第一加密密钥;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一加密密钥与所述第二接入网络节点相关;还配置为基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的第二加密密钥;其中,所述终端配置有第一接入网络节点和至少两个第二接入网络节点。
第七方面,本申请实施例提供的终端设备,包括处理器和存储器。该存储器用于存储计算机程序,该处理器用于调用并运行该存储器中存储的计算机程序,执行本申请实施例上述第三方面的密钥信息处理方法。
第八方面,本申请实施例提供的接入网络节点,包括处理器和存储器。该存储器用于存储计算机程序,该处理器用于调用并运行该存储器中存储的计算机程序,执行本申请实施例上述第一方面或第二方面的密钥信息处理方法。
第九方面,本申请实施例提供的芯片,用于实现上述的密钥信息处理方法。具体地,该芯片包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有该芯片的设备执行本申请实施例上述第一方面、第二方面或第三方面的密钥信息处理方法。
第十方面,本申请实施例提供的计算机可读存储介质,用于存储计算机程序,该计算机程序使得计算机执行本申请实施例上述第一方面、第二方面或第三方面的密钥信息处理方法。
第十一方面,本申请实施例提供的计算机程序产品,包括计算机程序指令,该计算机程序指令使得计算机执行本申请实施例上述第一方面、第二方面或第三方面的密钥信息处理方法。
第十二方面,本申请实施例提供的计算机程序,当其在计算机上运行时,使得计算机执行本申请实施例上述第一方面、第二方面或第三方面的密钥信息处理方法。
本申请实施例提供的密钥信息处理方法和网络设备、终端设备,通过作为主节点的第一接入网络节点基于与第二接入网络节点相关的安全信息确定第一加密密钥,发送第一加密密钥至第二接入网络节点;使得第二接入网络节点基于第一加密密钥确定用于加密和完整性保护的第二加密密钥,实现了多个SN的通信系统的场景下的密钥的衍生。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例提供的一种通信系统架构的示意性图;
图2a和图2b是本申请实施例的密钥信息处理方法应用的系统场景示意图;
图3是本申请实施例的密钥信息处理方法的流程示意图一;
图4是本申请实施例的密钥信息处理方法的流程示意图二;
图5是本申请实施例的密钥信息处理方法的流程示意图三;
图6a至图6c分别是本申请实施例的密钥信息处理方法中的密钥衍生示意图;
图7是本申请实施例的第一接入网络节点的一种组成结构示意图;
图8是本申请实施例的第一接入网络节点的另一种组成结构示意图;
图9是本申请实施例的第二接入网络节点的一种组成结构示意图;
图10是本申请实施例的第二接入网络节点的另一种组成结构示意图;
图11是本申请实施例的终端设备的一种组成结构示意图;
图12是本申请实施例的终端设备的另一种组成结构示意图;
图13是本申请实施例的通信设备的硬件组成结构示意图;
图14是本申请实施例的芯片的示意性结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例的技术方案可以应用于各种通信系统,例如:全球移动通讯(GlobalSystem of Mobile communication,GSM)系统、码分多址(Code Division MultipleAccess,CDMA)系统、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)系统、通用分组无线业务(General Packet Radio Service,GPRS)、长期演进(Long TermEvolution,LTE)系统、LTE频分双工(Frequency Division Duplex,FDD)系统、LTE时分双工(Time Division Duplex,TDD)、通用移动通信系统(Universal MobileTelecommunication System,UMTS)、全球互联微波接入(Worldwide Interoperabilityfor Microwave Access,WiMAX)通信系统或5G系统等。
示例性的,本申请实施例应用的通信系统100如图1所示。该通信系统100可以包括网络设备110,网络设备110可以是与终端设备120(或称为通信终端、终端)通信的设备。网络设备110可以为特定的地理区域提供通信覆盖,并且可以与位于该覆盖区域内的终端进行通信。可选地,该网络设备110可以是GSM系统或CDMA系统中的基站(Base TransceiverStation,BTS),也可以是WCDMA系统中的基站(NodeB,NB),还可以是LTE系统中的演进型基站(Evolutional Node B,eNB或eNodeB),或者是云无线接入网络(Cloud Radio AccessNetwork,CRAN)中的无线控制器,或者该网络设备可以为移动交换中心、中继站、接入点、车载设备、可穿戴设备、集线器、交换机、网桥、路由器、5G网络中的网络侧设备或者未来演进的公共陆地移动网络(Public Land Mobile Network,PLMN)中的网络设备等。
该通信系统100还包括位于网络设备110覆盖范围内的至少一个终端设备120。作为在此使用的“终端设备”包括但不限于经由有线线路连接,如经由公共交换电话网络(Public Switched Telephone Networks,PSTN)、数字用户线路(Digital SubscriberLine,DSL)、数字电缆、直接电缆连接;和/或另一数据连接/网络;和/或经由无线接口,如,针对蜂窝网络、无线局域网(Wireless Local Area Network,WLAN)、诸如DVB-H网络的数字电视网络、卫星网络、AM-FM广播发送器;和/或另一终端的被设置成接收/发送通信信号的装置;和/或物联网(Internet of Things,IoT)设备。被设置成通过无线接口通信的终端设备可以被称为“无线通信终端”、“无线终端”或“移动终端”。移动终端的示例包括但不限于卫星或蜂窝电话;可以组合蜂窝无线电电话与数据处理、传真以及数据通信能力的个人通信系统(Personal Communications System,PCS)终端;可以包括无线电电话、寻呼机、因特网/内联网接入、Web浏览器、记事簿、日历以及/或全球定位系统(Global PositioningSystem,GPS)接收器的PDA;以及常规膝上型和/或掌上型接收器或包括无线电电话收发器的其它电子装置。终端可以指接入终端、用户设备(User Equipment,UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session InitiationProtocol,SIP)电话、无线本地环路(Wireless Local Loop,WLL)站、个人数字处理(Personal Digital Assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端或者未来演进的PLMN中的终端等。
可选地,终端设备120之间可以进行终端直连(Device to Device,D2D)通信。
可选地,5G系统或5G网络还可以称为新无线(New Radio,NR)系统或NR网络。
图1示例性地示出了一个网络设备和两个终端设备,可选地,该通信系统100可以包括多个网络设备并且每个网络设备的覆盖范围内可以包括其它数量的终端设备,本申请实施例对此不做限定。
可选地,该通信系统100还可以包括网络控制器、移动管理实体等其他网络实体,本申请实施例对此不作限定。
应理解,本申请实施例中网络/系统中具有通信功能的设备可称为通信设备。以图1示出的通信系统100为例,通信设备可包括具有通信功能的网络设备110和终端设备120,网络设备110和终端设备120可以为上文所述的具体设备,此处不再赘述;通信设备还可包括通信系统100中的其他设备,例如网络控制器、移动管理实体等其他网络实体,本申请实施例中对此不做限定。
应理解,本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本申请实施例的技术方案主要应用于5G移动通信系统,当然,本申请实施例的技术方案并不局限于5G移动通信系统,还可以应用于其他类型的移动通信系统。
图2a和图2b是本申请实施例的密钥信息处理方法应用的系统场景示意图;如图2a所示,为一个MN和多个SN连接的基于5G核心网(NextGen Core)的场景。MN和SN连接5GC核心网,MN存在和5GC核心网之间的控制面(Control Plane,CP)连接和用户面(User Plane,UP)连接,SN存在和5GC核心网之间的UP连接;MN和SN之间可存在CP连接或UP连接,也可不存在连接。eLTE eNB或者gNB可作为MN,gNB或者eLTE eNB可作为SN节点。SN之间的网络覆盖可能存在重叠覆盖也可能不存在重叠覆盖。SN和MN之间的网络覆盖存在重叠覆盖。
如图2b所示,为一个MN和多个SN连接的基于EPC的场景。MN和SN连接EPC核心网,MN存在和EPC核心网之间的CP连接和UP连接,SN存在和5GC核心网之间的UP连接,MN和SN之间可存在CP连接或UP连接,也可不存在连接。LTE eNB可作为MN,LTE eNB、gNB、eLTE eNB均可能作为SN。SN之间的网络覆盖可能存在重叠覆盖也可能不存在重叠覆盖。SN和MN之间的网络覆盖存在重叠覆盖。
本申请实施例的密钥信息处理方法可基于图2a和图2b所示的系统场景,当然不限于上述系统场景,其他通信系统中存在MN和多个SN的场景均适用于本申请实施例的密钥信息处理方案。
本申请实施例提供了一种密钥信息处理方法。图3是本申请实施例的密钥信息处理方法的流程示意图一;如图3所示,所述方法包括:步骤301:第一接入网络节点确定与第二接入网络节点相关的安全信息;步骤302:所述第一接入网络节点基于所述安全信息和/或基础密钥确定第一加密密钥,发送所述第一加密密钥至所述第二接入网络节点;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一加密密钥与所述第二接入网络节点相关。
本实施例中,所述第一接入网络节点为与终端连接的主节点,例如图2a中可作为MN的eLTE eNB或者gNB,或者图2b中可作为MN的LTE eNB;第二接入网络节点为与所述终端连接的辅节点,例如图2a中可作为SN的gNB或者eLTE eNB,或者图2b中可作为SN的LTE eNB、gNB、eLTE eNB;所述终端配置有所述第一接入网络节点和至少两个所述第二接入网络节点。可以理解,第一接入网络节点配置终端多连接模式,使得终端与作为主节点的第一接入网络节点连接,以及与至少两个作为辅节点的第二接入网络节点连接。其中,每个第二接入网络节点分配一个对于终端的唯一标识,即为第二接入网络节点标识,也可称为辅节点标识(SN id)。
作为第一种实施方式,所述安全信息包括:与所述第二接入网络节点相关的第一辅小区组计数和/或第二接入网络节点标识;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数;所述第一接入网络节点基于所述安全信息和/或基础密钥确定第一加密密钥,包括:所述第一接入网络节点基于所述第二接入网络节点标识、第一辅小区组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为所述第二接入网络节点对应的密钥。
本实施方式中,第一辅小区组计数(SCG counter,Secondary Cell Groupcounter)是第一接入网络节点中维护的一个整数值,第二接入网络节点标识(也可称为SNid)是分配的对于终端的唯一标识;作为一种示例,SN id的起始值可以从0或1开始;若SNid的起始值从1开始,则所述第一接入网络节点的标识(可记为MN id)可以为0。
则第一接入网络节点基于第一辅小区组计数、SN id和基础密钥中的至少一种信息确定第一加密密钥。其中,所述基础密钥为第一接入网络节点对应的密钥;作为一种实施方式,所述基础密钥可记为KeNB或者KgNB,所述第一加密密钥用于所述第二接入网络节点确定第二加密密钥。作为一种实施方式,所述第一加密密钥可以记为S-KeNB/gNB;当第二接入网络节点为LTE系统或eLTE系统中的eNB时,所述第一加密密钥可以记为S-KeNB;当第二接入网络节点为5G系统或NR系统中的gNB时,所述第一加密密钥可以记为S-KgNB。可以理解,本实施方式中的所述第一加密密钥可以为第二接入网络节点对应的密钥。
在本申请的一种可选实施例中,所述方法还包括:所述第一接入网络节点为所述第二接入网络节点分配对应的第一辅小区组计数;其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。在其他实施方式中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值也可以相同,
本实施例中,第一接入网络节点中维护与第二接入网络节点相关的第一辅小区组计数(SCG counter),第一辅小区组计数是一个整数值。第一接入网络节点为每个第二接入网络节点分配一个第一辅小区组计数的起始值;在第一辅小区组计数需要更新时,在当前第一辅小区组计数的数值基础上加1。
作为一种实施方式,第一接入网络节点为每个第二接入网络节点分配的第一辅小区组计数的起始值相同,即为每个第二接入网络节点分配相同的第一辅小区组计数的起始值,可以理解,第一接入网络节点为每个第二接入网络节点维护各自对应的第一辅小区组计数。进而基于第二接入网络节点标识、第一辅小区组计数和基础密钥确定对应于第二接入网络节点的第一加密密钥。
作为另一种实施方式,第一接入网络节点为每个第二接入网络节点分配的第一辅小区组计数的起始值不同,即为每个第二接入网络节点分配不同的第一辅小区组计数的起始值。其中,所述第一接入网络节点为每个第二接入网络节点分配的第一辅小区组计数的起始值不同,可以表示所有的第二接入网络节点对应的第一辅小区组记数的起始值不同;或者也可以表示所有的第二接入网络节点中部分第二接入网络节点对应的第一辅小区组记数的起始值不同。
当不同的第二接入网络节点对应的第一辅小区组计数的起始值不同时,所述第一接入网络节点为所述第二接入网络节点分配对应的第一辅小区组计数,包括:所述第一接入网络节点基于所述第一辅小区组计数的最大值和所述第二接入网络节点的数量确定所述第二接入网络节点对应的第一辅小区组计数的取值范围,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的取值范围不同;所述第一接入网络节点根据所述第二接入网络节点对应的第一辅小区组计数的取值范围确定对应的第一辅小区组计数。
本实施例中,第一接入网络节点为所有的第二接入网络节点各自维护一个第一辅小区组计数,该第一辅小区组计数是一个整数值;每个第二接入网络节点可以使用的第一辅小区组计数的范围基于第一辅小区组计数的最大值和所述第二接入网络节点的数量确定。作为一种实施方式,第一辅小区组计数的范围可基于第一辅小区组计数的最大值和所述第二接入网络节点的数量相除后向上取整或向下取整后确定。假设有n个第二接入网络节点,第一辅小区组计数的最大值和所述第二接入网络节点的数量相除后向上取整或向下取整后的值记为A;则第一辅小区组计数的取值范围可表示为大于等于A*SNi小于A*(SNi+A);其中,SNi表示n个第二接入网络节点中的第i个第二接入网络节点;在实际应用中,可通过第i个第二接入网络节点的标识表示SNi。
作为一种示例,所述第二接入网络节点对应的第一辅小区组计数的范围可表示为:
Figure GDA0004035668390000051
或者,
Figure GDA0004035668390000052
在本申请的一种可选实施例中,所述方法还包括:所述第一接入网络节点确定所述基础密钥变更时,复位所述第一辅小区组计数。本实施例中,在确定KeNB变更时,复位所述第一接入网络节点中维护的第一辅小区组计数(SCG counter),即所述第一接入网络节点将第一辅小区组计数复位为0。
在本申请的一种可选实施例中,所述方法还包括:所述第一接入网络节点确定满足第一更新条件、且所述基础密钥不变时,更新所述第一辅小区组计数。其中,所述第一更新条件为所述第一加密密钥的更新条件。本实施例中,在确定满足所述第一加密密钥的更新条件并且KeNB不变时,第一接入网络节点更新所述第一辅小区组计数,即将第一辅小区组计数(SCG counter)加一。
作为第二种实施方式,所述安全信息包括:辅节点组计数和/或辅节点组标识;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点;所述第一接入网络节点基于所述安全信息和/或基础密钥确定第一加密密钥,包括:所述第一接入网络节点基于所述辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为辅节点组对应的密钥。
本实施例中,所述至少两个第二接入网络节点划分为至少一个辅节点组(SNGroup,SNG),一个辅节点组中包括至少一个第二接入网络节点,每个辅节点组对应分配一个辅节点组标识(SN group id),即辅节点组标识对应于辅节点组中的所有第二接入网络节点。其中,至少两个第二接入网络节点的分组原则可基于第二接入网络节点所在的射频范围进行分组,或者也可基于第二接入网络节点是否与第一接入网络节点之间存在特定连接(如Xn连接)进行分组等等。
第一接入网络节点中为每个辅节点组维护一个辅节点组记数(SNG counter),辅节点组记数(SNG counter)可以是一个整数值。则第一接入网络节点基于辅节点组标识(SNgroup id)和辅节点组记数(SNG counter)中的至少一种信息和基础密钥(如KeNB)确定第一加密密钥。本实施方式中所述第一加密密钥可以理解为对应于辅节点组的密钥。作为一种实施方式,所述第一加密密钥可记为S-KSNG
在本申请的一种可选实施例中,所述方法还包括:所述第一接入网络节点确定所述基础密钥变更时,复位所述辅节点组计数。本实施例中,在确定KeNB变更时,所述第一接入网络节点复位自身维护的辅节点组记数(SNG counter),即所述第一接入网络节点将辅节点组记数复位为0。
在本申请的一种可选实施例中,所述方法还包括:所述第一接入网络节点确定满足第一更新条件、且所述基础密钥不变时,更新所述辅节点组计数。其中,所述第一更新条件为所述第一加密密钥的更新条件。本实施例中,在确定满足所述第一加密密钥的更新条件并且KeNB不变时,第一接入网络节点更新所述辅节点组记数,即将辅节点组记数(SNGcounter)加一。
本申请实施例还提供了一种密钥信息处理方法。图4是本申请实施例的密钥信息处理方法的流程示意图二;如图4所示,所述方法包括:步骤401:第二接入网络节点接收所述第一接入网络节点发送的第一加密密钥;所述第一加密密钥基于与所述第二接入网络节点相关的安全信息和/或基础密钥确定;所述第一加密密钥与所述第二接入网络节点相关;步骤402:所述第二接入网络节点基于所述第一加密密钥确定用于加密和完整性保护的第二加密密钥。
本实施例中,所述第一接入网络节点为与终端连接的主节点,例如图2a中可作为MN的eLTE eNB或者gNB,或者图2b中可作为MN的LTE eNB;第二接入网络节点为与所述终端连接的辅节点,例如图2a中可作为SN的gNB或者eLTE eNB,或者图2b中可作为SN的LTE eNB、gNB、eLTE eNB;所述终端配置有所述第一接入网络节点和至少两个所述第二接入网络节点。可以理解,第一接入网络节点配置终端多连接模式,使得终端与作为主节点的第一接入网络节点连接,以及与至少两个作为辅节点的第二接入网络节点连接。其中,每个第二接入网络节点分配一个对于终端的唯一标识,即为第二接入网络节点标识,也可称为辅节点标识(SN id)。
作为第一种实施方式,所述第一加密密钥基于所述第二网络节点对应的第二接入网络标识、与所述第二接入网络节点相关的第一辅小区组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为所述第二接入网络节点对应的密钥;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数。其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。
本实施例中,所述第一加密密钥的确定方式可参照前述实施例中第一加密密钥的第一种确定方式的详细描述,这里不再赘述。
本实施方式中,所述第二接入网络节点基于所述第一加密密钥确定第二加密密钥,包括:所述第二接入网络节点基于所述第一加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
本实施例中,第二接入网络节点基于S-KeNB/gNB和选择的算法标识(ID)计算用于加密和完整性保护的第二加密密钥。
作为第二种实施方式,所述第一加密密钥基于辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为辅节点组对应的密钥;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点。作为一种实施方式,所述辅节点组标识对应于辅节点组中的所有第二接入网络节点。
本实施方式中,所述第一加密密钥的确定方式可参照前述实施例中第一加密密钥的第二种确定方式的详细描述,这里不再赘述。
本实施例中,所述第一加密密钥为辅节点组中的至少一个第二接入网络节点对应的密钥。作为一种实施方式,所述辅节点组标识对应于辅节点组中的所有第二接入网络节点,即辅节点组中的所有第二接入网络节点基于所述第一加密密钥进行响应密钥的确定。
本实施方式中,所述第二接入网络节点基于所述第一加密密钥确定第二加密密钥,包括:所述第二接入网络节点基于所述第一加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
本实施例中,第二接入网络节点基于S-KSNG和选择的算法标识(ID)计算用于加密和完整性保护的第二加密密钥。
作为第三种实施方式,所述第一加密密钥基于辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为辅节点组对应的密钥;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点。
本实施方式中,所述第一加密密钥的确定方式可参照前述实施例中第一加密密钥的第二种确定方式的详细描述,这里不再赘述。
本实施方式中,所述第二接入网络节点基于所述第一加密密钥确定第二加密密钥,包括:所述辅节点组中的特定第二接入网络节点基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组中的第二接入网络节点对应的密钥;所述特定第二接入网络节点发送所述第三加密密钥至所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点;所述第三加密密钥用于所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点基于所述第三加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥;所述特定第二接入网络节点基于所述第一加密密钥和和所述特定第二接入网络节点对应的算法标识确定用于加密和完整性保护的第二加密密钥。
本实施例中,辅节点组中的特定第二接入网络节点为每个第二接入网络节点组维护一个对应于第二接入网络节点的辅小区组记数(SCG counter),为了与前述实施例中第一接入网络节点中维护的辅小区组记数进行区别,第一接入网络节点中维护的辅小区组记数记为第一辅小区组记数,特定第二接入网络节点中维护的辅小区组记数记为第二辅小区组记数。另外,特定第二接入网络节点为辅小区组内的每个第二接入网络节点分配一个对于终端的唯一标识,可称为辅节点标识(SN id)。可以理解,所述第一辅小区组记数和所述第二辅小区组记数均与第二接入网络节点相关。
本实施例中,所述第一加密密钥可以理解为对应于辅节点组的密钥。辅节点组中的特定第二接入网络节点基于第一加密密钥(如S-KSNG)、所述第二接入网络节点标识(SNid)和第二辅小区组计数(SCG counter)中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点对应的密钥。实际应用中,辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点接收到所述第三加密密钥后,基于所述第三加密密钥和选择的算法标识确定用于加密和完整性保护的第二加密密钥。而对于特定第二接入网络节点自身的第二加密密钥,无需计算第三加密密钥,而是根据第一加密密钥和选择的算法标识计算特定第二接入网络节点对应的第二加密密钥。
作为第四种实施方式,所述第一加密密钥基于辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为辅节点组对应的密钥;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点。
本实施方式中,所述第一加密密钥的确定方式可参照前述实施例中第一加密密钥的第二种确定方式的详细描述,这里不再赘述。
本实施方式中,所述第二接入网络节点基于所述第一加密密钥确定第二加密密钥,包括:所述辅节点组中的特定第二接入网络节点基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组中的第二接入网络节点对应的密钥;所述特定第二接入网络节点发送所述第三加密密钥至所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点;所述第三加密密钥用于所述辅小区组中的第二接入网络节点基于所述第三加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
本实施例中,辅节点组中的特定第二接入网络节点为每个第二接入网络节点组维护一个辅小区组记数(SCG counter),为了与前述实施例中第一接入网络节点中维护的辅小区组记数进行区别,第一接入网络节点中维护的辅小区组记数记为第一辅小区组记数,特定第二接入网络节点中维护的辅小区组记数记为第二辅小区组记数。另外,特定第二接入网络节点为辅小区组内的每个第二接入网络节点分配一个对于终端的唯一标识,可称为辅节点标识(SN id)。可以理解,所述第一辅小区组记数和所述第二辅小区组记数均与第二接入网络节点相关。
本实施例中,所述第一加密密钥可以理解为对应于辅节点组的密钥。辅节点组中的特定第二接入网络节点基于第一加密密钥(如S-KSNG)、所述第二接入网络节点标识(SNid)和第二辅小区组计数(SCG counter)确定第三加密密钥;所述第三加密密钥为所述辅节点组中所有第二接入网络节点对应的密钥。实际应用中,辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点接收到所述第三加密密钥后,基于所述第三加密密钥和选择的算法标识确定用于加密和完整性保护的第二加密密钥。而对于特定第二接入网络节点,与辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点同理,确定所述第三加密密钥后,根据所述第三加密密钥和选择的算法标识计算特定第二接入网络节点对应的第二加密密钥。
在本申请的一种可选实施例中,所述方法还包括:所述特定第二接入网络节点确定用于确定所述第一加密密钥的基础密钥变更、和/或辅节点组对应的第一加密密钥变更时,复位所述第二辅小区组计数。本实施例中,在确定KeNB变更时,所述特定第二接入网络节点复位自身维护的第二辅小区组计数(SCG counter),即所述特定第二接入网络节点将第二辅小区组计数复位为0。
所述方法还包括:所述特定第二接入网络节点确定满足第二更新条件、且用于确定所述第一加密密钥的基础密钥不变时,更新所述第二辅小区组计数。其中,所述第二更新条件为所述第三加密密钥的更新条件。本实施例中,在确定满足所述第三加密密钥的更新条件并且KeNB不变时,特定第二接入网络节点更新自身维护的所述第二辅小区组计数,即将第二辅小区组计数(SCG counter)加一。
本实施例中,所述特定第二接入网络设备用于为所属的辅节点组中的其他第二接入网络设备生成加密密钥和/或管理加密密钥。
在其他实施例中,所述特定第二接入网络设备的功能还包括以下至少之一:与所述第一接入网络节点建立控制面连接;用于建立第三信令无线承载SRB3;用于分配所述辅节点组的信息;所述辅节点组的信息包括下述中的至少一项:用户面承载DRB ID、服务小区索引、逻辑信道LC ID、测量ID、测量对象ID和测量上报ID。
本申请实施例还提供了一种密钥信息处理方法。图5是本申请实施例的密钥信息处理方法的流程示意图三;如图5所示,所述方法包括:步骤501:终端设备获得第一接入网络节点分配的第一安全信息,基于所述第一安全信息和/或基础密钥确定第一加密密钥;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一安全信息与第二接入网络节点相关;所述第一加密密钥与所述第二接入网络节点相关;步骤502:所述终端设备获得所述第二接入网络节点分配的第二安全信息,基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的第二加密密钥;所述第二安全信息与第二接入网络节点相关。
本实施例中,所述终端配置有第一接入网络节点和至少两个第二接入网络节点,即终端可分别于第一接入网络节点和至少两个第二接入网络节点建立连接。所述第一接入网络节点为与终端连接的主节点,例如图2a中可作为MN的eLTE eNB或者gNB,或者图2b中可作为MN的LTE eNB;第二接入网络节点为与所述终端连接的辅节点,例如图2a中可作为SN的gNB或者eLTE eNB,或者图2b中可作为SN的LTE eNB、gNB、eLTE eNB。
作为第一种实施方式,所述第一安全信息包括;与所述第二接入网络节点相关的第一辅小区组计数和/或第二接入网络节点标识;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数;所述基于所述第一安全信息和/或基础密钥确定第一加密密钥,包括:基于所述第二接入网络节点标识、第一辅小区组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为所述第二接入网络节点对应的密钥。
本实施例中,终端设备接收第一接入网络节点分配的第一辅小区组计数和/或第二接入网络节点标识,基于所述第二接入网络节点标识、第一辅小区组计数和基础密钥中的至少一种信息确定第一加密密钥。所述第一加密密钥的具体阐述可参照前述应用于第一接入网络设备的实施例中第一加密密钥的第一种确定方式的详细描述,这里不再赘述。
在本申请的一种可选实施例中,所述终端设备获得第一接入网络节点分配的第一安全信息,包括:所述终端设备获得第一接入网络节点分配的第一辅小区组计数;其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。
可以理解,第一接入网络节点中维护与第二接入网络节点相关的第一辅小区组计数(SCG counter),终端设备基于第一接入网络节点的分配获得用于计算第一加密密钥的第一辅小区组计数,第一辅小区组计数是一个整数值。
本实施例中,所述第二安全信息包括对应于第二接入网络节点的算法标识;所述基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的密钥,包括:基于所述第一加密密钥和对应于第二接入网络节点的算法标识确定第二加密密钥。
可以理解,终端设备获得每个第二接入网络节点选择的算法标识,根据在先确定的第一加密密钥和第二接入网络节点的算法标识确定对应于相应的第二接入网络节点的第二加密密钥;所述第二加密密钥用于加密和完整性保护。所述第二加密密钥的具体确定方式可参照前述实施例中应用于第二接入网络设备的实施例中确定第二加密密钥的第一种实现方式的相关描述,这里不在赘述。
在本申请的一种可选实施例中,所述方法还包括:所述终端设备确定满足第一更新条件、且所述基础密钥不变时,更新用于所述第一辅小区组计数。其中,所述第一更新条件为所述第一加密密钥的更新条件。本实施例中,在确定满足所述第一加密密钥的更新条件并且KeNB不变时,终端设备更新所述第一辅小区组计数,即将第一辅小区组计数(SCGcounter)加一。
作为第二种实施方式,所述至少两个第二接入网络节点划分为至少一个辅节点组,一个辅节点组中包括至少一个第二接入网络节点,每个辅节点组对应分配一个辅节点组标识(SN group id),即辅节点组标识对应于辅节点组中的所有第二接入网络节点。本实施例中,所述第一安全信息包括;辅节点组计数和/或辅节点组标识;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点;所述基于所述安全信息和/或基础密钥确定第一加密密钥,包括:基于所述辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为辅节点组对应的密钥。
本实施例中,所述第一加密密钥的确定方式可参照前述应用于第一接入网络节点的实施例中的第一加密密钥的第二种确定方式的详细描述,这里不再赘述。
本实施例中,所述第一加密密钥为辅节点组中的至少一个第二接入网络节点对应的密钥。作为一种实施方式,所述第一加密密钥为辅节点组中的所有第二接入网络节点对应的密钥,可以理解,辅节点组中的所有第二接入网络节点基于所述第一加密密钥进行各自密钥的确定。
本实施方式中,所述第二安全信息包括对应于第二接入网络节点的算法标识;所述基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的密钥,包括:基于所述第一加密密钥和对应于第二接入网络节点的算法标识确定第二加密密钥。
可以理解,终端设备获得每个第二接入网络节点选择的算法标识,根据在先确定的第一加密密钥和第二接入网络节点的算法标识确定对应于相应的第二接入网络节点的第二加密密钥;所述第二加密密钥用于加密和完整性保护。所述第二加密密钥的具体确定方式可参照前述实施例中应用于第二接入网络设备的实施例中确定第二加密密钥的第二种实现方式的相关描述,这里不在赘述。
在本申请的一种可选实施例中,所述方法还包括:所述终端设备确定满足第一更新条件、且所述基础密钥不变时,更新所述辅节点组计数。其中,所述第一更新条件为所述第一加密密钥的更新条件。具体的更新的方式与第一接入网络节点中的更新方式相同,具体可参照第一接入网络节点中的更新方式,这里不在赘述。
作为第三种实施方式,所述至少两个第二接入网络节点划分为至少一个辅节点组。所述第一安全信息包括;辅节点组计数和/或辅节点组标识;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点;所述基于所述安全信息和/或基础密钥确定第一加密密钥,包括:基于所述辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为辅节点组对应的密钥。
本实施例中,所述第一加密密钥的确定方式可参照前述应用于第一接入网络节点的实施例中的第一加密密钥的第二种确定方式的详细描述,这里不再赘述。
本实施例中,所述终端设备获得第二接入网络节点分配的第二安全信息,包括:所述终端设备获得辅节点组中的第二接入网路节点分配的算法标识;以及获得辅节点组中的特定第二接入网络节点分配的第二辅小区组计数和/或第二接入网络节点标识;所述基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的密钥,包括:基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥,所述第三加密密钥为所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点对应的密钥;基于所述第三加密密钥和所述其他第二接入网络节点对应的算法标识确定对应于所述其他第二接入网络节点的第二加密密钥;基于所述第一加密密钥和所述特定第二接入网络节点对应的算法标识确定所述特定第二接入网络节点对应的第二加密密钥。
本实施例中,所述第二加密密钥的具体确定方式可参照前述实施例中应用于第二接入网络设备的实施例中确定第二加密密钥的第三种实现方式的相关描述,这里不在赘述。
作为第四种实施方式,所述至少两个第二接入网络节点划分为至少一个辅节点组。
所述第一安全信息包括;辅节点组计数和/或辅节点组标识;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点;所述基于所述安全信息和基础密钥确定第一加密密钥,包括:基于所述辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为辅节点组对应的密钥。
本实施例中,所述第一加密密钥的确定方式可参照前述应用于第一接入网络节点的实施例中的第一加密密钥的第二种确定方式的详细描述,这里不再赘述。
所述终端设备获得第二接入网络节点分配的第二安全信息,包括:所述终端设备获得辅节点组中的第二接入网路节点分配的算法标识;以及获得辅节点组中的特定第二接入网络节点分配的第二辅小区组计数和/或第二接入网络节点标识;所述基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的密钥,包括:基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组中的至少一个第二接入网络节点对应的密钥;基于所述第三加密密钥和第二接入网络节点对应的算法标识确定对应于所述第二接入网络节点的第二加密密钥。
本实施例中,所述第二加密密钥的具体确定方式可参照前述实施例中应用于第二接入网络设备的实施例中确定第二加密密钥的第四种实现方式的相关描述,这里不在赘述。
本实施例中,所述特定第二接入网络设备用于为所属的辅节点组中的其他第二接入网络设备生成加密密钥和/或管理加密密钥。
在其他实施例中,所述特定第二接入网络设备的功能还包括以下至少之一:与所述第一接入网络节点建立控制面连接;用于建立SRB3;用于分配所述辅节点组的信息;所述辅节点组的信息包括下述中的至少一项:DRB ID、服务小区索引、LC ID、测量ID、测量对象ID和测量上报ID。
在本申请的一种可选实施例中,所述方法还包括:所述终端设备确定满足第二更新条件、且用于确定所述第一加密密钥的基础密钥不变时,更新所述第二辅小区组计数。其中,所述第二更新条件为所述第三加密密钥的更新条件。
本实施例中,在确定满足所述第三加密密钥的更新条件并且KeNB不变时,特定第二接入网络节点更新自身维护的所述第二辅小区组计数,即将第二辅小区组计数(SCGcounter)加一。
图6a至图6c分别是本申请实施例的密钥信息处理方法中的密钥衍生示意图;下面结合图6a至图6c以及具体的示例对本申请实施例的密钥信息处理方法进行详细说明,在以下各示例中,均以第一接入网络节点为MN、第二接入网络节点为SN为例进行说明。
示例一
如图6a所示,作为一种实施方式,MN为每个SN维护一个SCG counter,该SCGcounter是一个整数值。在MN侧,通过KeNB(或者KgNB)、SCG counter和SN id输入密钥推导函数(KDF)获得第二接入网络节点对应的第一加密密钥S-KeNB/gNB;MN将获得的第一加密密钥S-KeNB/gNB发送给所有的SN,每个SN将第一加密密钥S-KeNB/gNB和各自选择的算法标识输入KDF,确定用于加密和完整性保护的密钥。
作为另一种实施方式,与前述实施例同理,区别在于,MN为所有的SN维护一个SCGcounter,该SCG counter是一个整数值。MN为SN分配对应的SCG counter起始值,不同的SN对应的SCG counter起始值不同。其中,每个SN可以使用SCG Counter的范围基于SCGcounter的最大值和SN的数量确定,具体的确定规则可参照前述实施例所示,这里不在赘述。
示例二
如图6b所示,作为一种实施方式,MN为每个SN组维护一个SNG counter,每个SN组对应的密钥的计算输入参数至少有:KeNB(或者KgNB)、SNG counter和SN group id,即MN将KeNB(或者KgNB)、SNG counter和SN group id输入KDF获得SN组对应的第一加密密钥S-KSNG;MN将获得的第一加密密钥S-KSNG发送给SN组中的特定SN,特定SN负责计算SN组内每个SN的密钥;每个SN的密钥计算的输入参数至少包括:S-KSNG、SCG counter和SN id,即特定SN将S-KSNG、SCG counter和SN id输入KDF获得第三加密密钥S-KgNB,特定SN将第三加密密钥S-KgNB发送给SN组内的其他SN,SN组内的所有SN(包括特定SN)将第三加密密钥S-KgNB和各自选择的算法标识输入KDF,确定用于加密和完整性保护的密钥。
作为另一种实施方式,与前述实施例同理,区别在于,特定SN将第三加密密钥S-KgNB发送给SN组内的其他SN,其他SN将第三加密密钥S-KgNB和各自选择的算法标识输入KDF,确定用于加密和完整性保护的密钥;而对于特定SN,将第一加密密钥S-KSNG和选择的算法标识输入KDF,确定用于加密和完整性保护的密钥。
示例三
如图6c所示,MN为每个SN组维护一个SNG counter,每个SN组对应的密钥的计算输入参数至少有:KeNB(或者KgNB)、SNG counter和SN group id,即MN将KeNB(或者KgNB)、SNGcounter和SN group id输入KDF获得SN组对应的第一加密密钥S-KSNG;MN将获得的第一加密密钥S-KSNG发送给SN组中的所有SN;SN组内的所有SN(包括特定SN)将第一加密密钥S-KSNG和各自选择的算法标识输入KDF,确定用于加密和完整性保护的密钥。
采用本申请实施例的技术方案,一方面,通过作为主节点的第一接入网络节点基于与第二接入网络节点相关的安全信息确定第一加密密钥,发送第一加密密钥至第二接入网络节点;使得第二接入网络节点基于第一加密密钥确定用于加密和完整性保护的第二加密密钥,实现了多个SN的通信系统的场景下的密钥的衍生;另一方面,通过第一接入网络节点对所维护的辅小区组计数和/或辅节点组计数的复位或更新,通过第二接入网络节点对所维护的辅小区组计数的复位或更新,以及通过终端设备对辅小区组计数和/或辅节点组计数的更新,实现了多个SN的通信系统的场景下的密钥的管理。
本申请实施例还提供了一种第一接入网络节点。图7是本申请实施例的第一接入网络节点的一种组成结构示意图;如图7所示,所述节点包括:第一确定单元61、第二确定单元62和第一通讯单元63;其中,所述第一确定单元61,配置为确定与第二接入网络节点相关的安全信息;所述第二确定单元62,配置为基于所述安全信息和/或基础密钥确定第一加密密钥;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一加密密钥与所述第二接入网络节点相关;所述第一通讯单元63,配置为发送所述第一加密密钥至所述第二接入网络节点;其中,所述第一接入网络节点为与终端连接的主节点;第二接入网络节点为与所述终端连接的辅节点;所述终端配置有所述第一接入网络节点和至少两个所述第二接入网络节点。
作为第一种实施方式,所述安全信息包括;与所述第二接入网络节点相关的第一辅小区组计数和/或第二接入网络节点标识;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数;所述第二确定单元62,配置为基于所述第二接入网络节点标识、第一辅小区组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为所述第二接入网络节点对应的密钥。
其中,所述第一确定单元61,还配置为为所述第二接入网络节点分配对应的第一辅小区组计数;其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。
当不同的第二接入网络节点对应的第一辅小区组计数的起始值不同时,作为一种实施方式,所述第一确定单元61,配置为基于所述第一辅小区组计数的最大值和所述第二接入网络节点的数量确定所述第二接入网络节点对应的第一辅小区组计数的取值范围,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的取值范围不同;根据所述第二接入网络节点对应的第一辅小区组计数的取值范围确定对应的第一辅小区组计数。
基于上述实施例,在本申请的可选实施例中,如图8所示,所述节点还包括第一复位单元64,配置为确定所述基础密钥变更时,复位所述第一辅小区组计数。
基于上述实施例,在本申请的可选实施例中,如图8所示,所述节点还包括第一更新单元65,配置为确定满足第一更新条件、且所述基础密钥不变时,更新所述第一辅小区组计数。其中,所述第一更新条件为所述第一加密密钥的更新条件。
作为第二种实施方式,所述安全信息包括:辅节点组计数和/或辅节点组标识;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点;作为一种实施方式,所述辅节点组标识对应于辅节点组中的所有第二接入网络节点;所述第二确定单元62,配置为基于所述辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为辅节点组对应的密钥。其中,所述至少两个第二接入网络节点划分为至少一个辅节点组。每个辅节点组对应一个辅节点组标识;不同的辅节点组对应的辅节点组标识不同。
基于上述实施例,在本申请的可选实施例中,如图8所示,所述节点还包括第一复位单元64,配置为确定所述基础密钥变更时,复位所述辅节点组计数。
基于上述实施例,在本申请的可选实施例中,如图8所示,所述节点还包括第一更新单元65,配置为确定满足第一更新条件、且所述基础密钥不变时,更新所述辅节点组计数。其中,所述第一更新条件为所述第一加密密钥的更新条件。
需要说明的是:上述实施例提供的第一接入网络节点在进行密钥信息处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将第一接入网络节点的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的第一接入网络节点与密钥信息处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本申请实施例还提供了一种第二接入网络节点。图9是本申请实施例的第二接入网络节点的一种组成结构示意图;如图9所示,所述节点包括:第二通讯单元71和第三确定单元72;其中,所述第二通讯单元71,配置为接收所述第一接入网络节点发送的第一加密密钥;所述第一加密密钥基于与所述第二接入网络节点相关的安全信息和/或基础密钥确定;所述第一加密密钥与所述第二接入网络节点相关;所述第三确定单元72,配置为基于所述第一加密密钥确定用于加密和完整性保护的第二加密密钥;其中,所述第一接入网络节点为与终端连接的主节点;第二接入网络节点为与所述终端连接的辅节点;所述终端配置有第一接入网络节点和至少两个第二接入网络节点。
作为第一种实施方式,所述第一加密密钥基于所述第二网络节点对应的第二接入网络标识、与所述第二接入网络节点相关的第一辅小区组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为所述第二接入网络节点对应的密钥;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数。其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。
则本实施方式中,所述第三确定单元72,配置为基于所述第一加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
作为第二种实施方式,所述第一加密密钥基于辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为辅节点组对应的密钥;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点。作为一种实施方式,所述辅节点组标识对应于辅节点组中的所有第二接入网络节点。其中,所述第一加密密钥为辅节点组中的至少一个第二接入网络节点对应的密钥。作为一种实施方式,所述第一加密密钥为辅节点组中的所有第二接入网络节点对应的密钥。
所述第三确定单元72,配置为基于所述第一加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
作为第三种实施方式,所述第一加密密钥基于辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为辅节点组对应的密钥;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点。
所述第二接入网络节点为辅节点组中的特定第二接入网络节点,所述第三确定单元72,配置为基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组对应的密钥;还配置为基于所述第一加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥;所述第二通讯单元71,还配置为发送所述第三加密密钥至所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点;所述第三加密密钥用于所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点基于所述第三加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
可以理解,本实施例中,所述至少两个第二接入网络节点划分为至少一个辅节点组,每个辅节点组中确定一个特定第二接入网络节点,所述特定第二接入网络节点用于辅节点组内的第二接入网络节点的密钥生成。在本实施例中,特定第二接入网络节点基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数确定第三加密密钥;所述第三加密密钥为所述辅节点组对应的密钥,将第三加密密钥发送至组内的其他第二接入网络节点,使得组内的其他第二接入网络节点基于第三加密密钥和对应的算法标识计算第二加密密钥;另一方面,特定第二接入网络节点基于获得的第一加密密钥和算法标识确定自身的用于加密和安全性保护的第二加密密钥,而不用重新基于第三加密密钥进行计算第二加密密钥。
作为第四种实施方式,所述第一加密密钥基于辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为辅节点组对应的密钥;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点。
所述第二接入网络节点为辅节点组中的特定第二接入网络节点,所述第三确定单元72,配置为基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组对应的密钥;所述第二通讯单元71,还配置为发送所述第三加密密钥至所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点;所述第三加密密钥用于所述辅小区组中的第二接入网络节点基于所述第三加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
可以理解,本实施例中,所述至少两个第二接入网络节点划分为至少一个辅节点组,每个辅节点组中确定一个特定第二接入网络节点,所述特定第二接入网络节点用于辅节点组内的第二接入网络节点的密钥生成。在本实施例中,特定第二接入网络节点基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数确定第三加密密钥;所述第三加密密钥为所述辅节点组对应的密钥,并且将第三加密密钥发送至组内的其他第二接入网络节点,使得组内的所有第二接入网络节点(包括特定第二接入网络节点在内)基于第三加密密钥和对应的算法标识计算第二加密密钥。
基于上述实施例,在本申请的可选实施例中,如图10所示,所述节点还包括第二复位单元73,配置为确定用于确定所述第一加密密钥的基础密钥变更、和/或辅节点组对应的第一加密密钥变更时,复位所述第二辅小区组计数。
基于上述实施例,在本申请的可选实施例中,如图10所示,所述节点还包括第二更新单元74,配置为确定满足第二更新条件、且用于确定所述第一加密密钥的基础密钥不变时,更新所述第二辅小区组计数。其中,所述第二更新条件为所述第三加密密钥的更新条件。
本实施例中,所述特定第二接入网络设备配置为为所属的辅节点组中的其他第二接入网络设备生成加密密钥和/或管理加密密钥。
其中,所述特定第二接入网络设备的功能还包括以下至少之一:与所述第一接入网络节点建立控制面连接;用于建立SRB3;用于分配所述辅节点组的信息;所述辅节点组的信息包括下述中的至少一项:DRB ID、服务小区索引、LC ID、测量ID、测量对象ID和测量上报ID。
需要说明的是:上述实施例提供的第二接入网络节点在进行密钥信息处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将第二接入网络节点的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的第二接入网络节点与密钥信息处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本申请实施例还提供了一种终端设备。图11是本申请实施例的终端设备的一种组成结构示意图;如图11所示,所述终端设备包括:第三通讯单元81和第四确定单元82;其中,所述第三通讯单元81,配置为获得第一接入网络节点分配的第一安全信息;所述第一安全信息与第二接入网络节点相关;还配置为获得第二接入网络节点分配的第二安全信息;所述第二安全信息与第二接入网络节点相关;所述第四确定单元82,配置为基于所述第一安全信息和/或基础密钥确定第一加密密钥;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一加密密钥与所述第二接入网络节点相关;还配置为基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的第二加密密钥;
其中,所述终端配置有第一接入网络节点和至少两个第二接入网络节点。
作为第一种实施方式,所述第一安全信息包括;与所述第二接入网络节点相关的第一辅小区组计数和/或第二接入网络节点标识;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数;则所述第四确定单元82,配置为基于所述第二接入网络节点标识、第一辅小区组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为所述第二接入网络节点对应的密钥。
其中,所述第二安全信息包括对应于第二接入网络节点的算法标识;所述第四确定单元82,配置为基于所述第一加密密钥和对应于第二接入网络节点的算法标识确定第二加密密钥。
在一实施例中,所述第三通讯单元81,配置为获得第一接入网络节点分配的第一辅小区组计数;其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。
基于上述实施例,在本申请的可选实施例中,如图12所示,所述终端设备还包括第三更新单元83,配置为确定满足第一更新条件、且所述基础密钥不变时,更新所述第一辅小区组计数。其中,所述第一更新条件为所述第一加密密钥的更新条件。
作为第二种实施方式,所述至少两个第二接入网络节点划分为至少一个辅节点组。所述第一安全信息包括;辅节点组计数和/或辅节点组标识;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点;作为一种实施方式,所述辅节点组标识对应于辅节点组中的所有第二接入网络节点。所述第四确定单元82,配置为基于所述辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为辅节点组对应的密钥。
在一实施例中,所述第一加密密钥为辅节点组中的至少一个第二接入网络节点对应的密钥。作为一种实施方式,所述第一加密密钥为辅节点组中的所有第二接入网络节点对应的密钥。
在一实施例中,所述第二安全信息包括对应于第二接入网络节点的算法标识;所述第四确定单元82,配置为基于所述第一加密密钥和对应于第二接入网络节点的算法标识确定第二加密密钥。
基于上述实施例,在本申请的可选实施例中,如图12所示,所述终端设备还包括第三更新单元83,配置为确定满足第一更新条件、且所述基础密钥不变时,更新所述辅节点组计数。其中,所述第一更新条件为所述第一加密密钥的更新条件。
作为第三种实施方式,所述第三通讯单元81,配置为获得辅节点组中的第二接入网络节点分配的算法标识;以及获得辅节点组中的特定第二接入网络节点分配的第二辅小区组计数和/或第二接入网络节点标识;所述第四确定单元82,配置为基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥,所述第三加密密钥为所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点对应的密钥;基于所述第三加密密钥和所述其他第二接入网络节点对应的算法标识确定对应于所述其他第二接入网络节点的第二加密密钥;基于所述第一加密密钥和所述特定第二接入网络节点对应的算法标识确定所述特定第二接入网络节点对应的第二加密密钥。
本实施例中,所述至少两个第二接入网络节点划分为至少一个辅节点组,每个辅节点组中确定一个特定第二接入网络节点,所述特定第二接入网络节点用于维护第二辅小区组计数和第二接入网络节点标识。在本实施例中,对于辅节点组内的特定第二接入网络节点,终端设备基于第一加密密钥和算法标识确定第二加密密钥,而不用重新基于第三加密密钥进行计算第二加密密钥;对于辅节点组内除特定第二接入网络节点以外的其他特定第二接入网络节点,终端首先基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数确定第三加密密钥,再基于第三加密密钥和对应的算法标识计算第二加密密钥。
作为第四种实施方式,所述第三通讯单元81,配置为获得辅节点组中的第二接入网络节点分配的算法标识;以及获得辅节点组中的特定第二接入网络节点分配的第二辅小区组计数和/或第二接入网络节点标识;所述第四确定单元82,配置为基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组中的第二接入网络节点对应的密钥;基于所述第三加密密钥和第二接入网络节点对应的算法标识确定对应于所述第二接入网络节点的第二加密密钥。
本实施例中,所述至少两个第二接入网络节点划分为至少一个辅节点组,每个辅节点组中确定一个特定第二接入网络节点,所述特定第二接入网络节点用于维护第二辅小区组计数和第二接入网络节点标识。在本实施例中,对于辅节点组内的所有第二接入网络节点,终端均是基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数确定第三加密密钥,再基于第三加密密钥和各个第二接入网络节点对应的算法标识计算第二加密密钥。
本实施例中,所述特定第二接入网络设备配置为为所属的辅节点组中的其他第二接入网络设备生成加密密钥和/或管理加密密钥。
其中,所述特定第二接入网络设备的功能还包括以下至少之一:与所述第一接入网络节点建立控制面连接;用于建立SRB3;用于分配所述辅节点组的信息;所述辅节点组的信息包括下述中的至少一项:DRB ID、服务小区索引、LC ID、测量ID、测量对象ID和测量上报ID。
基于上述实施例,在本申请的可选实施例中,如图12所示,所述终端设备还包括第三更新单元83,配置为确定满足第二更新条件、且用于确定所述第一加密密钥的基础密钥不变时,更新所述第二辅小区组计数。其中,所述第二更新条件为所述第三加密密钥的更新条件。
需要说明的是:上述实施例提供的终端设备在进行密钥信息处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将终端设备的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的终端设备与密钥信息处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图13是本申请实施例提供的一种通信设备示意性结构图。本申请实施例中该通信设备可以是终端设备或接入网络节点,图13所示的通信设备包括处理器910,处理器910可以从存储器中调用并运行计算机程序,以实现本申请实施例中的方法。
可选地,如图13所示,通信设备还可以包括存储器920。其中,处理器910可以从存储器920中调用并运行计算机程序,以实现本申请实施例中的方法。其中,存储器920可以是独立于处理器910的一个单独的器件,也可以集成在处理器910中。
可选地,如图13所示,通信设备还可以包括收发器930,处理器910可以控制该收发器930与其他设备进行通信,具体地,可以向其他设备发送信息或数据,或接收其他设备发送的信息或数据。其中,收发器930可以包括发射机和接收机。收发器930还可以进一步包括天线,天线的数量可以为一个或多个。
可选地,该通信设备具体可为本申请实施例的终端设备或接入网络节点,并且该通信设备可以实现本申请实施例的各个方法中由终端设备、第一网络节点或第二接入网络节点实现的相应流程,为了简洁,在此不再赘述。
图14是本申请实施例的芯片的示意性结构图。图14所示的芯片包括处理器710,处理器710可以从存储器中调用并运行计算机程序,以实现本申请实施例中的方法。
可选地,如图14所示,芯片还可以包括存储器720。其中,处理器710可以从存储器720中调用并运行计算机程序,以实现本申请实施例中的方法。其中,存储器720可以是独立于处理器710的一个单独的器件,也可以集成在处理器710中。
可选地,该芯片还可以包括输入接口730。其中,处理器710可以控制该输入接口730与其他设备或芯片进行通信,具体地,可以获取其他设备或芯片发送的信息或数据。
可选地,该芯片还可以包括输出接口740。其中,处理器710可以控制该输出接口740与其他设备或芯片进行通信,具体地,可以向其他设备或芯片输出信息或数据。
可选地,该芯片可应用于本申请实施例中的终端设备或接入网络节点,并且该芯片可以实现本申请实施例的各个方法中由终端设备、第一接入网络节点或第二接入网络节点实现的相应流程,为了简洁,在此不再赘述。
应理解,本申请实施例提到的芯片还可以称为系统级芯片,系统芯片,芯片系统或片上系统芯片等。
本申请实施例还提供了一种通信系统,该通信系统包括终端设备、第一接入网络节点和至少两个第二接入网络节点。其中,该终端设备可以用于实现上述方法中由终端设备实现的相应的功能,该第一接入网络节点可以用于实现上述方法中由第一接入网络节点实现的相应的功能,该第二接入网络节点可以用于实现上述方法中由第二接入网络节点实现的相应的功能,为了简洁,在此不再赘述。
应理解,本申请实施例的处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
应理解,上述存储器为示例性但不是限制性说明,例如,本申请实施例中的存储器还可以是静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synch link DRAM,SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)等等。也就是说,本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本申请实施例还提供了一种计算机可读存储介质,用于存储计算机程序。
可选地,该计算机可读存储介质可应用于本申请实施例中的终端设备、第一接入网络节点或第二接入网络节点,并且该计算机程序使得计算机执行本申请实施例的各个方法中由终端设备、第一接入网络节点或第二接入网络节点实现的相应流程,为了简洁,在此不再赘述。
本申请实施例还提供了一种计算机程序产品,包括计算机程序指令。
可选地,该计算机程序产品可应用于本申请实施例中的终端设备、第一接入网络节点或第二接入网络节点,并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由终端设备、第一接入网络节点或第二接入网络节点实现的相应流程,为了简洁,在此不再赘述。
本申请实施例还提供了一种计算机程序。
可选地,该计算机程序可应用于本申请实施例中的终端设备、第一接入网络节点或第二接入网络节点,当该计算机程序在计算机上运行时,使得计算机执行本申请实施例的各个方法中由终端设备、第一接入网络节点或第二接入网络节点实现的相应流程,为了简洁,在此不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,)ROM、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。

Claims (68)

1.一种密钥信息处理方法,所述方法包括:
第一接入网络节点确定与第二接入网络节点相关的安全信息;所述第一接入网络节点为与终端连接的主节点;第二接入网络节点为与所述终端连接的辅节点;所述终端配置有所述第一接入网络节点和至少两个所述第二接入网络节点;
所述第一接入网络节点基于所述安全信息和基础密钥确定第一加密密钥,发送所述第一加密密钥至所述第二接入网络节点;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一加密密钥与所述第二接入网络节点相关;
其中,所述安全信息包括:辅节点组计数和/或辅节点组标识;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点;
所述第一接入网络节点基于所述安全信息和基础密钥确定第一加密密钥,包括:
所述第一接入网络节点基于所述辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为辅节点组对应的密钥。
2.根据权利要求1所述的方法,其中,所述安全信息还包括:与所述第二接入网络节点相关的第一辅小区组计数和/或第二接入网络节点标识;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数;
所述第一接入网络节点基于所述安全信息和/或基础密钥确定第一加密密钥,包括:
所述第一接入网络节点基于所述第二接入网络节点标识、第一辅小区组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为所述第二接入网络节点对应的密钥。
3.根据权利要求2所述的方法,其中,所述方法还包括:
所述第一接入网络节点为所述第二接入网络节点分配对应的第一辅小区组计数;其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。
4.根据权利要求3所述的方法,其中,所述第一接入网络节点为所述第二接入网络节点分配对应的第一辅小区组计数,包括:
所述第一接入网络节点基于所述第一辅小区组计数的最大值和所述第二接入网络节点的数量确定所述第二接入网络节点对应的第一辅小区组计数的取值范围,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的取值范围不同;
所述第一接入网络节点根据所述第二接入网络节点对应的第一辅小区组计数的取值范围确定对应的第一辅小区组计数。
5.根据权利要求1至4任一项所述的方法,其中,所述方法还包括:
所述第一接入网络节点确定所述基础密钥变更时,复位第一辅小区组计数。
6.根据权利要求1至4任一项所述的方法,其中,所述方法还包括:
所述第一接入网络节点确定满足第一更新条件、且所述基础密钥不变时,更新第一辅小区组计数。
7.根据权利要求1所述的方法,其中,所述方法还包括:
所述第一接入网络节点确定所述基础密钥变更时,复位所述辅节点组计数。
8.根据权利要求1所述的方法,其中,所述方法还包括:
所述第一接入网络节点确定满足第一更新条件、且所述基础密钥不变时,更新所述辅节点组计数。
9.一种密钥信息处理方法,所述方法包括:
第二接入网络节点接收第一接入网络节点发送的第一加密密钥;所述第一加密密钥基于与所述第二接入网络节点相关的安全信息和基础密钥确定;所述第一加密密钥与所述第二接入网络节点相关;所述第一接入网络节点为与终端连接的主节点;第二接入网络节点为与所述终端连接的辅节点;所述终端配置有第一接入网络节点和至少两个第二接入网络节点;
所述第二接入网络节点基于所述第一加密密钥确定用于加密和完整性保护的第二加密密钥;
其中,所述第一加密密钥基于辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为辅节点组对应的密钥;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点。
10.根据权利要求9所述的方法,其中,所述第一加密密钥基于所述第二接入网络节点对应的第二接入网络标识、与所述第二接入网络节点相关的第一辅小区组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为所述第二接入网络节点对应的密钥;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数。
11.根据权利要求10所述的方法,其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。
12.根据权利要求9所述的方法,其中,所述第一加密密钥为辅节点组中的至少一个第二接入网络节点对应的密钥。
13.根据权利要求9至12任一项所述的方法,其中,所述第二接入网络节点基于所述第一加密密钥确定第二加密密钥,包括:
所述第二接入网络节点基于所述第一加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
14.根据权利要求9所述的方法,其中,所述第二接入网络节点基于所述第一加密密钥确定第二加密密钥,包括:
所述辅节点组中的特定第二接入网络节点基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组中的第二接入网络节点对应的密钥;
所述特定第二接入网络节点发送所述第三加密密钥至所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点;所述第三加密密钥用于所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点基于所述第三加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥;
所述特定第二接入网络节点基于所述第一加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
15.根据权利要求9所述的方法,其中,所述第二接入网络节点基于所述第一加密密钥确定第二加密密钥,包括:
所述辅节点组中的特定第二接入网络节点基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组中的第二接入网络节点对应的密钥;
所述特定第二接入网络节点发送所述第三加密密钥至所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点;所述第三加密密钥用于所述辅小区组中的第二接入网络节点基于所述第三加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
16.根据权利要求14或15所述的方法,其中,所述方法还包括:
所述特定第二接入网络节点确定用于确定所述第一加密密钥的基础密钥变更、和/或辅节点组对应的第一加密密钥变更时,复位所述第二辅小区组计数。
17.根据权利要求14或15所述的方法,其中,所述方法还包括:
所述特定第二接入网络节点确定满足第二更新条件、且用于确定所述第一加密密钥的基础密钥不变时,更新所述第二辅小区组计数。
18.根据权利要求14或15所述的方法,其中,所述特定第二接入网络节点用于为所属的辅节点组中的其他第二接入网络节点生成加密密钥和/或管理加密密钥。
19.根据权利要求18所述的方法,其中,所述特定第二接入网络节点的功能还包括以下至少之一:
与所述第一接入网络节点建立控制面连接;
用于建立第三信令无线承载SRB3;
用于分配所述辅节点组的信息;所述辅节点组的信息包括下述中的至少一项:用户面承载DRB ID、服务小区索引、逻辑信道LC ID、测量ID、测量对象ID和测量上报ID。
20.一种密钥信息处理方法,所述方法包括:
终端设备获得第一接入网络节点分配的第一安全信息,基于所述第一安全信息和基础密钥确定第一加密密钥;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一安全信息与第二接入网络节点相关;所述第一加密密钥与所述第二接入网络节点相关;
所述终端设备获得所述第二接入网络节点分配的第二安全信息,基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的第二加密密钥;所述第二安全信息与第二接入网络节点相关;
其中,所述终端配置有第一接入网络节点和至少两个第二接入网络节点;所述第一接入网络节点为主节点,所述第二接入网络节点为辅节点;
其中,所述第一安全信息包括;辅节点组计数和/或辅节点组标识;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点;
所述基于所述安全信息和基础密钥确定第一加密密钥,包括:基于所述辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为辅节点组对应的密钥。
21.根据权利要求20所述的方法,其中,所述第一安全信息还包括;与所述第二接入网络节点相关的第一辅小区组计数和/或第二接入网络节点标识;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数;
所述基于所述第一安全信息和/或基础密钥确定第一加密密钥,包括:基于所述第二接入网络节点标识、第一辅小区组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为所述第二接入网络节点对应的密钥。
22.根据权利要求21所述的方法,其中,所述终端设备获得第一接入网络节点分配的第一安全信息,包括:
所述终端设备获得第一接入网络节点分配的第一辅小区组计数;其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。
23.根据权利要求20至22任一项所述的方法,其中,所述方法还包括:所述终端设备确定满足第一更新条件、且所述基础密钥不变时,更新第一辅小区组计数。
24.根据权利要求20所述的方法,其中,所述至少两个第二接入网络节点划分为至少一个辅节点组。
25.根据权利要求20所述的方法,其中,所述第一加密密钥为辅节点组中的至少一个第二接入网络节点对应的密钥。
26.根据权利要求24或25所述的方法,其中,所述方法还包括:
所述终端设备确定满足第一更新条件、且所述基础密钥不变时,更新所述辅节点组计数。
27.根据权利要求20至22任一项所述的方法,其中,所述第二安全信息包括对应于第二接入网络节点的算法标识;
所述基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的密钥,包括:
基于所述第一加密密钥和对应于第二接入网络节点的算法标识确定第二加密密钥。
28.根据权利要求22或24所述的方法,其中,所述终端设备获得第二接入网络节点分配的第二安全信息,包括:
所述终端设备获得辅节点组中的第二接入网路节点分配的算法标识;以及获得辅节点组中的特定第二接入网络节点分配的第二辅小区组计数和/或第二接入网络节点标识;
所述基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的密钥,包括:
基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥,所述第三加密密钥为所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点对应的密钥;
基于所述第三加密密钥和所述其他第二接入网络节点对应的算法标识确定对应于所述其他第二接入网络节点的第二加密密钥;
基于所述第一加密密钥和所述特定第二接入网络节点对应的算法标识确定所述特定第二接入网络节点对应的第二加密密钥。
29.根据权利要求22或24所述的方法,其中,所述终端设备获得第二接入网络节点分配的第二安全信息,包括:
所述终端设备获得辅节点组中的第二接入网路节点分配的算法标识;以及获得辅节点组中的特定第二接入网络节点分配的第二辅小区组计数和/或第二接入网络节点标识;
所述基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的密钥,包括:
基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组中的至少一个第二接入网络节点对应的密钥;
基于所述第三加密密钥和第二接入网络节点对应的算法标识确定对应于所述第二接入网络节点的第二加密密钥。
30.根据权利要求28所述的方法,其中,所述特定第二接入网络节点用于为所属的辅节点组中的其他第二接入网络节点生成加密密钥和/或管理加密密钥。
31.根据权利要求30所述的方法,其中,所述特定第二接入网络节点的功能还包括以下至少之一:
与所述第一接入网络节点建立控制面连接;
用于建立第三信令无线承载SRB3;
用于分配所述辅节点组的信息;所述辅节点组的信息包括下述中的至少一项:用户面承载DRB ID、服务小区索引、逻辑信道LC ID、测量ID、测量对象ID和测量上报ID。
32.根据权利要求28所述的方法,其中,所述方法还包括:
所述终端设备确定满足第二更新条件、且用于确定所述第一加密密钥的基础密钥不变时,更新所述第二辅小区组计数。
33.一种第一接入网络节点,所述节点包括:第一确定单元、第二确定单元和第一通讯单元;其中,
所述第一确定单元,配置为确定与第二接入网络节点相关的安全信息;
所述第二确定单元,配置为基于所述安全信息和基础密钥确定第一加密密钥;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一加密密钥与所述第二接入网络节点相关;
所述第一通讯单元,配置为发送所述第一加密密钥至所述第二接入网络节点;
其中,所述安全信息包括:辅节点组计数和/或辅节点组标识;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点;
所述第二确定单元,配置为基于所述辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为辅节点组对应的密钥;
其中,所述第一接入网络节点为与终端连接的主节点;第二接入网络节点为与所述终端连接的辅节点;所述终端配置有所述第一接入网络节点和至少两个所述第二接入网络节点。
34.根据权利要求33所述的节点,其中,所述安全信息包括;与所述第二接入网络节点相关的第一辅小区组计数和/或第二接入网络节点标识;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数;
所述第二确定单元,配置为基于所述第二接入网络节点标识、第一辅小区组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为所述第二接入网络节点对应的密钥。
35.根据权利要求34所述的节点,其中,所述第一确定单元,还配置为为所述第二接入网络节点分配对应的第一辅小区组计数;其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。
36.根据权利要求35所述的节点,其中,所述第一确定单元,配置为基于所述第一辅小区组计数的最大值和所述第二接入网络节点的数量确定所述第二接入网络节点对应的第一辅小区组计数的取值范围,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的取值范围不同;根据所述第二接入网络节点对应的第一辅小区组计数的取值范围确定对应的第一辅小区组计数。
37.根据权利要求33至36任一项所述的节点,其中,所述节点还包括第一复位单元,配置为确定所述基础密钥变更时,复位第一辅小区组计数。
38.根据权利要求33至36任一项所述的节点,其中,所述节点还包括第一更新单元,配置为确定满足第一更新条件、且所述基础密钥不变时,更新第一辅小区组计数。
39.根据权利要求33所述的节点,其中,所述节点还包括第一复位单元,配置为确定所述基础密钥变更时,复位所述辅节点组计数。
40.根据权利要求33所述的节点,其中,所述节点还包括第一更新单元,配置为确定满足第一更新条件、且所述基础密钥不变时,更新所述辅节点组计数。
41.一种第二接入网络节点,所述节点包括:第二通讯单元和第三确定单元;其中,
所述第二通讯单元,配置为接收第一接入网络节点发送的第一加密密钥;所述第一加密密钥基于与所述第二接入网络节点相关的安全信息和基础密钥确定;所述第一加密密钥与所述第二接入网络节点相关;
所述第三确定单元,配置为基于所述第一加密密钥确定用于加密和完整性保护的第二加密密钥;
其中,所述第一加密密钥基于辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为辅节点组对应的密钥;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点;
其中,所述第一接入网络节点为与终端连接的主节点;第二接入网络节点为与所述终端连接的辅节点;所述终端配置有第一接入网络节点和至少两个第二接入网络节点。
42.根据权利要求41所述的节点,其中,所述第一加密密钥基于所述第二接入网络节点对应的第二接入网络标识、与所述第二接入网络节点相关的第一辅小区组计数和基础密钥中的至少一种信息确定,所述第一加密密钥为所述第二接入网络节点对应的密钥;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数。
43.根据权利要求42所述的节点,其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。
44.根据权利要求41所述的节点,其中,所述第一加密密钥为辅节点组中的至少一个第二接入网络节点对应的密钥。
45.根据权利要求41至44任一项所述的节点,其中,所述第三确定单元,配置为基于所述第一加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
46.根据权利要求41所述的节点,其中,所述第二接入网络节点为辅节点组中的特定第二接入网络节点,
所述第三确定单元,配置为基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组中的第二接入网络节点对应的密钥;还配置为基于所述第一加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥;
所述第二通讯单元,还配置为发送所述第三加密密钥至所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点;所述第三加密密钥用于所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点基于所述第三加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
47.根据权利要求41所述的节点,其中,所述第二接入网络节点为辅节点组中的特定第二接入网络节点,
所述第三确定单元,配置为基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组中的至少一个第二接入网络节点对应的密钥;
所述第二通讯单元,还配置为发送所述第三加密密钥至所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点;所述第三加密密钥用于所述辅小区组中的第二接入网络节点基于所述第三加密密钥和算法标识确定用于加密和完整性保护的第二加密密钥。
48.根据权利要求46或47所述的节点,其中,所述节点还包括第二复位单元,配置为确定用于确定所述第一加密密钥的基础密钥变更、和/或辅节点组对应的第一加密密钥变更时,复位所述第二辅小区组计数。
49.根据权利要求46或47所述的节点,其中,所述节点还包括第二更新单元,配置为确定满足第二更新条件、且用于确定所述第一加密密钥的基础密钥不变时,更新所述第二辅小区组计数。
50.根据权利要求46或47所述的节点,其中,所述特定第二接入网络节点配置为为所属的辅节点组中的其他第二接入网络节点生成加密密钥和/或管理加密密钥。
51.根据权利要求50所述的节点,其中,所述特定第二接入网络节点的功能还包括以下至少之一:
与所述第一接入网络节点建立控制面连接;
用于建立第三信令无线承载SRB3;
用于分配所述辅节点组的信息;所述辅节点组的信息包括下述中的至少一项:用户面承载DRB ID、服务小区索引、逻辑信道LC ID、测量ID、测量对象ID和测量上报ID。
52.一种终端设备,所述终端设备包括:第三通讯单元和第四确定单元;其中,
所述第三通讯单元,配置为获得第一接入网络节点分配的第一安全信息;所述第一安全信息与第二接入网络节点相关;还配置为获得第二接入网络节点分配的第二安全信息;所述第二安全信息与第二接入网络节点相关;
所述第四确定单元,配置为基于所述第一安全信息和基础密钥确定第一加密密钥;所述基础密钥为所述第一接入网络节点对应的密钥;所述第一加密密钥与所述第二接入网络节点相关;还配置为基于所述第一加密密钥和所述第二安全信息确定用于加密和完整性保护的第二加密密钥;
其中,所述第一安全信息包括;辅节点组计数和/或辅节点组标识;所述辅节点组标识对应于辅节点组中的至少一个第二接入网络节点;
所述第四确定单元,配置为基于所述辅节点组标识、辅节点组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为辅节点组对应的密钥;
其中,所述终端配置有第一接入网络节点和至少两个第二接入网络节点。
53.根据权利要求52所述的终端设备,其中,所述第一安全信息包括;与所述第二接入网络节点相关的第一辅小区组计数和/或第二接入网络节点标识;所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应不同的第二接入网络节点标识和/或第一辅小区组计数;
所述第四确定单元,配置为基于所述第二接入网络节点标识、第一辅小区组计数和基础密钥中的至少一种信息确定第一加密密钥;所述第一加密密钥为所述第二接入网络节点对应的密钥。
54.根据权利要求53所述的终端设备,其中,所述第三通讯单元,配置为获得第一接入网络节点分配的第一辅小区组计数;其中,所述至少两个第二接入网络节点中的至少两个第二接入网络节点对应的第一辅小区组计数的起始值不同。
55.根据权利要求52至54任一项所述的终端设备,其中,所述终端设备还包括第三更新单元,配置为确定满足第一更新条件、且所述基础密钥不变时,更新第一辅小区组计数。
56.根据权利要求52所述的终端设备,其中,所述至少两个第二接入网络节点划分为至少一个辅节点组。
57.根据权利要求52所述的终端设备,其中,所述第一加密密钥为辅节点组中的至少一个第二接入网络节点对应的密钥。
58.根据权利要求52或57所述的终端设备,其中,所述终端设备还包括第三更新单元,配置为确定满足第一更新条件、且所述基础密钥不变时,更新所述辅节点组计数。
59.根据权利要求52至54任一项所述的终端设备,其中,所述第二安全信息包括对应于第二接入网络节点的算法标识;
所述第四确定单元,配置为基于所述第一加密密钥和对应于第二接入网络节点的算法标识确定第二加密密钥。
60.根据权利要求52或56所述的终端设备,其中,
所述第三通讯单元,配置为获得辅节点组中的第二接入网络节点分配的算法标识;以及获得辅节点组中的特定第二接入网络节点分配的第二辅小区组计数和/或第二接入网络节点标识;
所述第四确定单元,配置为基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥,所述第三加密密钥为所述辅节点组中除所述特定第二接入网络节点以外的其他第二接入网络节点对应的密钥;基于所述第三加密密钥和所述其他第二接入网络节点对应的算法标识确定对应于所述其他第二接入网络节点的第二加密密钥;基于所述第一加密密钥和所述特定第二接入网络节点对应的算法标识确定所述特定第二接入网络节点对应的第二加密密钥。
61.根据权利要求52或56所述的终端设备,其中,
所述第三通讯单元,配置为获得辅节点组中的第二接入网络节点分配的算法标识;以及获得辅节点组中的特定第二接入网络节点分配的第二辅小区组计数和/或第二接入网络节点标识;
所述第四确定单元,配置为基于所述第一加密密钥、所述第二接入网络节点标识和第二辅小区组计数中的至少一种信息确定第三加密密钥;所述第三加密密钥为所述辅节点组中的第二接入网络节点对应的密钥;基于所述第三加密密钥和第二接入网络节点对应的算法标识确定对应于所述第二接入网络节点的第二加密密钥。
62.根据权利要求60所述的终端设备,其中,所述特定第二接入网络节点配置为为所属的辅节点组中的其他第二接入网络节点生成加密密钥和/或管理加密密钥。
63.根据权利要求62所述的终端设备,其中,所述特定第二接入网络节点的功能还包括以下至少之一:
与所述第一接入网络节点建立控制面连接;
用于建立第三信令无线承载SRB3;
用于分配所述辅节点组的信息;所述辅节点组的信息包括下述中的至少一项:用户面承载DRB ID、服务小区索引、逻辑信道LC ID、测量ID、测量对象ID和测量上报ID。
64.根据权利要求60所述的终端设备,其中,所述终端设备还包括第三更新单元,配置为确定满足第二更新条件、且用于确定所述第一加密密钥的基础密钥不变时,更新所述第二辅小区组计数。
65.一种终端设备,包括:处理器和存储器,该存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,执行如权利要求20至32中任一项所述的方法。
66.一种接入网络节点,包括:处理器和存储器,该存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,执行如权利要求1至8中任一项所述的方法;或者,所述处理器用于调用并运行所述存储器中存储的计算机程序,执行如权利要求9至19中任一项所述的方法。
67.一种芯片,包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有所述芯片的设备执行如权利要求1至8中任一项所述的方法;或者,使得安装有所述芯片的设备执行如权利要求9至19中任一项所述的方法;或者,使得安装有所述芯片的设备执行如权利要求20至32中任一项所述的方法。
68.一种计算机可读存储介质,用于存储计算机程序,所述计算机程序使得计算机执行如权利要求1至8中任一项所述的方法;或者,所述计算机程序使得计算机执行如权利要求9至19中任一项所述的方法;或者,所述计算机程序使得计算机执行如权利要求20至32任一项所述的方法。
CN201980060409.3A 2019-01-29 2019-01-29 一种密钥信息处理方法和接入网络节点、终端设备 Active CN112690010B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2019/073792 WO2020154929A1 (zh) 2019-01-29 2019-01-29 一种秘钥信息处理方法和接入网络节点、终端设备

Publications (2)

Publication Number Publication Date
CN112690010A CN112690010A (zh) 2021-04-20
CN112690010B true CN112690010B (zh) 2023-05-05

Family

ID=71841709

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980060409.3A Active CN112690010B (zh) 2019-01-29 2019-01-29 一种密钥信息处理方法和接入网络节点、终端设备

Country Status (2)

Country Link
CN (1) CN112690010B (zh)
WO (1) WO2020154929A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116545638A (zh) * 2022-01-25 2023-08-04 华为技术有限公司 一种密钥协商过程主从设备的确定方法及相关装置
CN117835235A (zh) * 2022-09-29 2024-04-05 大唐移动通信设备有限公司 Scg侧安全密钥的确定方法、设备、装置及存储介质
CN119485371A (zh) * 2023-08-11 2025-02-18 大唐移动通信设备有限公司 安全处理方法、装置及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104956644A (zh) * 2013-01-30 2015-09-30 瑞典爱立信有限公司 用于双连接的安全密钥生成
WO2018030798A1 (en) * 2016-08-09 2018-02-15 Samsung Electronics Co., Ltd. Method and apparatus for managing user plane operation in wireless communication system
CN108737045A (zh) * 2017-04-19 2018-11-02 华为技术有限公司 重复传输的方法及装置
WO2018212539A1 (en) * 2017-05-15 2018-11-22 Samsung Electronics Co., Ltd. Apparatus and method for managing security keys in wireless communication system
CN109246696A (zh) * 2017-06-16 2019-01-18 华为技术有限公司 密钥处理方法以及相关装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3554047B1 (en) * 2013-09-11 2020-11-04 Samsung Electronics Co., Ltd. Method and system to enable secure communication for inter-enb transmission
US10064051B2 (en) * 2014-01-17 2018-08-28 Samsung Electronics Co., Ltd. Dual connectivity mode of operation of a user equipment in a wireless communication network
EP2922326B1 (en) * 2014-03-21 2018-12-19 Sun Patent Trust Security key derivation in dual connectivity
CN108810888B (zh) * 2017-05-05 2020-09-18 华为技术有限公司 秘钥更新方法和设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104956644A (zh) * 2013-01-30 2015-09-30 瑞典爱立信有限公司 用于双连接的安全密钥生成
WO2018030798A1 (en) * 2016-08-09 2018-02-15 Samsung Electronics Co., Ltd. Method and apparatus for managing user plane operation in wireless communication system
CN108737045A (zh) * 2017-04-19 2018-11-02 华为技术有限公司 重复传输的方法及装置
WO2018212539A1 (en) * 2017-05-15 2018-11-22 Samsung Electronics Co., Ltd. Apparatus and method for managing security keys in wireless communication system
CN109246696A (zh) * 2017-06-16 2019-01-18 华为技术有限公司 密钥处理方法以及相关装置

Also Published As

Publication number Publication date
CN112690010A (zh) 2021-04-20
WO2020154929A1 (zh) 2020-08-06

Similar Documents

Publication Publication Date Title
WO2020248261A1 (zh) 一种测量间隔的确定方法及装置、终端
CN112673687B (zh) 注册的方法、终端设备和网络设备
CN109845320B (zh) 基于业务质量进行数据传输的方法和设备
CN112703779B (zh) 一种上行传输的功率控制方法及终端设备
CN109644099B (zh) 无线通信方法、网络设备和终端
CN112425192B (zh) 一种终端设备的能力上报方法、设备及存储介质
CN111510906B (zh) 一种能力交互方法及相关设备
CN112425217B (zh) 一种同步源优先级确定方法、设备和计算机存储介质
CN113615257B (zh) 一种路径选择方法及装置、终端
CN113383595B (zh) 无线通信的方法、终端设备和网络设备
CN112690010B (zh) 一种密钥信息处理方法和接入网络节点、终端设备
CN114364037B (zh) 无线通信的方法、终端设备和网络设备
CN112534940A (zh) 资源分配的方法、终端设备和网络设备
CN114342549A (zh) 用于连接网络的方法和设备
CN114340035B (zh) 业务传输的方法和设备
JP2020503738A (ja) 情報伝送方法、ネットワーク機器及び端末装置
WO2019174056A1 (zh) 通信方法和设备
CN113286276A (zh) 侧行链路中确定传输模式的方法、终端设备和网络设备
CN112887073B (zh) 带宽部分处理方法、终端设备及网络设备
CN111742600B (zh) 一种上行数据传输方法及相关设备
CN111837419B (zh) 数据传输方法、终端设备和网络设备
WO2023020297A1 (zh) 中继选择方法和装置
CN112385271A (zh) 一种网络信息传输方法、获取方法、网络设备及终端设备
CN115037705A (zh) 通信方法和设备
CN113194473B (zh) 用于完整性保护的方法或设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant