一種安全密鑰管理方法、裝置和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種安全密鑰管理方法、裝置和系統(tǒng),主控基站和/或終端維護(hù)兩套主控基站的基站密鑰:當(dāng)前基站密鑰和非當(dāng)前基站密鑰;其中,所述非當(dāng)前基站密鑰指當(dāng)前沒有被主控基站和終端使用的密鑰,由當(dāng)前基站密鑰或NH或舊的非當(dāng)前基站密鑰派生;所述當(dāng)前基站密鑰指當(dāng)前被主控基站和終端使用的密鑰,用于派生其他控制面和/或用戶面密鑰,所述當(dāng)前基站密鑰同時有且只有一個存在。采用本發(fā)明提供的安全密鑰管理技術(shù),可以對終端的多連接提供足夠的安全保護(hù),多連接下的安全性得以明顯提高,并可以防止在終端連接的微基站發(fā)生頻繁變更時,多連接的密鑰被破解或被泄露的風(fēng)險隨變更成正比,即可以保證多連接的安全強(qiáng)度在可控的范圍之內(nèi)。
【專利說明】一種安全密鑰管理方法、裝置和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域,具體涉及一種安全密鑰管理方法、裝置和系統(tǒng)。
【背景技術(shù)】
[0002]隨著無線通信技術(shù)和標(biāo)準(zhǔn)的不斷演進(jìn),移動分組業(yè)務(wù)得到了巨大的發(fā)展,單終端的數(shù)據(jù)吞吐能力在不斷提升。以長期演進(jìn)(LTE, Long Term Evolut1n)系統(tǒng)為例,在20M帶寬內(nèi)可以支持下行最大速率10Mbps的數(shù)據(jù)傳輸,后續(xù)的增強(qiáng)的LTE(LTE Advanced)網(wǎng)絡(luò)中,數(shù)據(jù)的傳輸速率將進(jìn)一步提升,甚至可以達(dá)到IGbps。
[0003]現(xiàn)有LTE的用戶面數(shù)據(jù)協(xié)議棧如圖1所示,從核心網(wǎng)經(jīng)用戶層面GPRS隧道協(xié)議(GTP-U, GPRS Tunnelling Protocol for the User Plane)收到的下行數(shù)據(jù),經(jīng)解包后通過分組數(shù)據(jù)匯聚協(xié)議(PDCP,Packet Data Convergence Protocol)子層、無線鏈路控制(RLC,Rad1 Link Control)協(xié)議子層、媒體接入控制(MAC, Medium Access Control)協(xié)議子層和物理層(PHY)處理發(fā)送給用戶設(shè)備(UE, User Equipment);上行數(shù)據(jù)的發(fā)送與下行正好相反。目前網(wǎng)絡(luò)與終端之間的數(shù)據(jù)傳輸鏈路是一對一的專用鏈接,因此這條鏈路的信號質(zhì)量和使用的資源大小決定了兩者間的數(shù)據(jù)傳輸性能。如果鏈路使用的資源受到限制或者信號質(zhì)量比較差,則終端的用戶體驗(yàn)就會下降,這就是現(xiàn)在移動運(yùn)營商正在面臨的巨大挑戰(zhàn),雖然網(wǎng)絡(luò)容量逐年擴(kuò)增,但仍趕不上終端數(shù)量的增加和用戶對數(shù)據(jù)業(yè)務(wù)量的需求。
[0004]為了滿足數(shù)據(jù)業(yè)務(wù)量的增長需求,以及業(yè)務(wù)在地域上不平均的特點(diǎn),運(yùn)營商在部署新一代通信網(wǎng)絡(luò)(比如LTE)的過程中,也在增加低功率節(jié)點(diǎn)(LPN,Low Power Node)(或稱小小區(qū)(Small Cell)或微基站(Pico eNB))來進(jìn)行熱點(diǎn)增強(qiáng)。隨著LPN小區(qū)的增加,網(wǎng)絡(luò)部署環(huán)境變得更加復(fù)雜,同時也帶來了一些問題。首先,因?yàn)長PN小區(qū)覆蓋范圍相比宏小區(qū)(Macro Cell)要小得多,容量也相對較小,某些LPN小區(qū)可能會輕易被用戶占滿而導(dǎo)致負(fù)荷過高,從而影響用戶數(shù)據(jù)的吞吐量,而另外一些LPN小區(qū)或宏小區(qū)會處在相對較低的負(fù)荷水平上,如果要平衡負(fù)荷,需要網(wǎng)絡(luò)側(cè)執(zhí)行負(fù)荷均衡操作,但該過程不夠靈活,尤其當(dāng)小區(qū)較多時,這種靈活性的缺乏導(dǎo)致的負(fù)荷不均就更嚴(yán)重;另外,由于LPN小區(qū)數(shù)量比較多,因此用戶設(shè)備(或稱為終端)在網(wǎng)絡(luò)內(nèi)發(fā)生移動時,會導(dǎo)致頻繁的小區(qū)間切換(Handover),從而導(dǎo)致頻繁的數(shù)據(jù)業(yè)務(wù)終端甚至是掉話等問題,這也會導(dǎo)致用戶的數(shù)據(jù)吞吐量和用戶體驗(yàn)的下降。同時這種頻繁的切換也會導(dǎo)致終端與網(wǎng)絡(luò),尤其是核心網(wǎng)會收到大量的信令沖擊,從而可能導(dǎo)致系統(tǒng)資源擁塞甚至癱瘓。隨著將來運(yùn)營商以及個人部署的LPN小區(qū)數(shù)量的增加,上述情況會愈來愈嚴(yán)重,因此目前不少公司和運(yùn)營商都傾向于尋求一種新的增強(qiáng)方案,雙連接(Dual Connectivity)就是其中之一,雙連接下終端可以同時與兩個(或兩個以上,本發(fā)明所述雙連接只是一個泛稱,并不限制連接個數(shù))網(wǎng)絡(luò)節(jié)點(diǎn)保持連接,比如終端冋時與宏小區(qū)和LPN小區(qū)保持連接,在網(wǎng)絡(luò)負(fù)荷不均衡時,網(wǎng)絡(luò)側(cè)可以實(shí)時調(diào)控終端在兩個節(jié)點(diǎn)上的傳輸數(shù)據(jù)量,同時如果終端移動或其他原因?qū)е翷PN小區(qū)變更時,另外一個小區(qū)還可以保持連接,且這種變更不會導(dǎo)致過多的信令沖擊。
[0005]但是上述的雙連接方式存在安全問題,尤其是當(dāng)終端在兩個(或若干個)網(wǎng)絡(luò)節(jié)點(diǎn)上都存在rocp協(xié)議層實(shí)體的時候,因?yàn)闊o線接入網(wǎng)的控制面信令和用戶面數(shù)據(jù)的安全保護(hù)(包括加解密和完整性保護(hù))都是在rocp層完成的,因此當(dāng)有若干個rocp實(shí)體存在時,不同網(wǎng)絡(luò)節(jié)點(diǎn)上的安全保護(hù)如何實(shí)現(xiàn)是必須解決的重要問題。
[0006]按照現(xiàn)有協(xié)議,如圖2所示,無線接入網(wǎng)側(cè)(如eNB)與終端之間的接入層(AccessStratum, AS)擁有相同的安全上下文,其中包括基站密鑰KeNB,根據(jù)該密鑰可以派生出AS控制面的加密密鑰(KRRCenc)和完整性保護(hù)密鑰(KRRCint),以及用戶面的加密密鑰(KUPenc)。在eNB與終端之間進(jìn)行數(shù)據(jù)傳輸時,發(fā)送端利用控制面完整性保護(hù)密鑰(KRRCint)和加密密鑰(KRRCenc),以及指定算法對控制面數(shù)據(jù)實(shí)施完整性保護(hù)和加密,而在接收端則會根據(jù)相同的密鑰和算法執(zhí)行反向操作(解密和完整性保護(hù)驗(yàn)證),對于用戶面數(shù)據(jù)發(fā)送和接收,雙方則會利用用戶面加密密鑰(KUPenc)對用戶面數(shù)據(jù)進(jìn)行加密和解密操作。其中所述基站密鑰KeNB初始由核心網(wǎng)計(jì)算然后發(fā)送給eNB。在后續(xù)的過程中,t匕如為防止HXP序列號翻轉(zhuǎn)或終端發(fā)生切換時,KeNB也會發(fā)生更新。以切換為例,如果發(fā)生的是SI切換,則切換目標(biāo)側(cè)的KeNB仍然由核心網(wǎng)計(jì)算;但如果發(fā)生的是X2切換,則切換目標(biāo)側(cè)的KeNB(或稱KeNB*)的派生方法可能有兩種,如圖3所示,一種是由切換源側(cè)的KeNB派生而來,另一種由下一跳(Next Hop,NH)派生而來,其中NH是由核心網(wǎng)計(jì)算并發(fā)送給eNB的。具體使用哪種方法需要根據(jù)切換源側(cè)是否存在未被使用過的NH(即未被用來做過密鑰派生的)而定,如果切換源側(cè)有未被使用過的NH,則KeNB*由NH派生,否則KeNB*由KeNB派生。
[0007]根據(jù)上述描述,在雙連接場景下,按照現(xiàn)有協(xié)議,終端接入的若干個網(wǎng)絡(luò)節(jié)點(diǎn)的安全保護(hù)只能是網(wǎng)絡(luò)側(cè)的若干個節(jié)點(diǎn)采用相同的密鑰配置。如圖4所示,在典型部署場景下終端同時接入宏基站(Macro eNB)和微基站(Pico eNB/LPN)這兩個節(jié)點(diǎn),如果兩個節(jié)點(diǎn)使用相同的安全配置(比如相同的加密密鑰),則終端側(cè)只需要采用一套安全上下文配置即可。上述方法的問題在于不安全,因?yàn)樵谶\(yùn)營商部署的微基站(或稱LPN,小小區(qū)基站等)被認(rèn)為是部署在公開環(huán)境的(比如鬧市區(qū)或街道旁),因此微基站相比于宏基站來說不夠安全,即基站本身就存在安全隱患,如果微基站與宏基站采用相同的安全配置,當(dāng)微基站被攻破之后,宏基站的安全保護(hù)也會被攻破,而當(dāng)微基站發(fā)生頻繁變更時,密鑰被破解的風(fēng)險就更大,同時密鑰泄露的可能性也跟其經(jīng)歷過的不安全的微基站數(shù)量成正比。因此從這個方面來講采用同一套安全上下文是有潛在安全漏洞的。但除此之外,現(xiàn)有協(xié)議并無法支持在雙連接下的安全保護(hù)機(jī)制,尤其是對安全密鑰的管理機(jī)制。
【發(fā)明內(nèi)容】
[0008]有鑒于此,本發(fā)明的主要目的在于提供一種安全密鑰管理方法、裝置和系統(tǒng),提高多連接下的安全性。
[0009]為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0010]一種安全密鑰管理方法,該方法包括:
[0011]主控基站和/或終端維護(hù)兩套主控基站的基站密鑰:當(dāng)前基站密鑰和非當(dāng)前基站密鑰;其中,所述非當(dāng)前基站密鑰指當(dāng)前沒有被主控基站和終端使用的密鑰,由當(dāng)前基站密鑰或下一跳NH或舊的非當(dāng)前基站密鑰派生;所述當(dāng)前基站密鑰指當(dāng)前被主控基站和終端使用的密鑰,用于派生其他控制面和/或用戶面密鑰,所述當(dāng)前基站密鑰同時有且只有一個存在。
[0012]終端與其接入的受控基站的基站密鑰,由主控基站的密鑰(包括當(dāng)前基站密鑰或非當(dāng)前基站密鑰)派生,但同一個主控基站密鑰最多只能被使用一次用以派生受控基站密鑰。
[0013]終端與其接入的受控基站的第一個受控基站密鑰由主控基站根據(jù)當(dāng)前基站密鑰或非當(dāng)前基站密鑰或NH派生。
[0014]如果終端接入其它受控基站時,對應(yīng)的受控基站密鑰由主控基站根據(jù)之前未被使用過的主控基站密鑰或NH派生。
[0015]受控基站密鑰由主控基站計(jì)算/派生,然后通過主控基站與受控基站之間的接口發(fā)送給受控基站。
[0016]該方法還包括選擇非當(dāng)前基站密鑰的方法為:使用最新的基站密鑰,即最近一次被派生的基站密鑰,該基站密鑰是當(dāng)前基站密鑰或非當(dāng)前基站密鑰。
[0017]所述的密鑰派生方法為:基于初始密鑰,根據(jù)特定密鑰派生函數(shù)計(jì)算派生密鑰,其中特定密鑰派生函數(shù)包括單向函數(shù)。
[0018]在終端與其接入的受控基站需要執(zhí)行密鑰更新時,對應(yīng)的新的受控基站密鑰由舊的受控基站密鑰派生。
[0019]一種安全密鑰管理裝置,該裝置為主控基站,所述裝置用于維護(hù)兩套主控基站的基站密鑰:當(dāng)前基站密鑰和非當(dāng)前基站密鑰;其中,所述非當(dāng)前基站密鑰指當(dāng)前沒有被主控基站和終端使用的密鑰,由當(dāng)前基站密鑰或NH或舊的非當(dāng)前基站密鑰派生;所述當(dāng)前基站密鑰指當(dāng)前被主控基站和終端使用的密鑰,用于派生其他控制面和/或用戶面密鑰,所述當(dāng)前基站密鑰同時有且只有一個存在。
[0020]終端與其接入的受控基站的基站密鑰,由主控基站的密鑰(包括當(dāng)前基站密鑰或非當(dāng)前基站密鑰)派生,但同一個主控基站密鑰最多只能被使用一次用以派生受控基站密鑰。
[0021]終端與其接入的受控基站的第一個受控基站密鑰由主控基站根據(jù)當(dāng)前基站密鑰或非當(dāng)前基站密鑰或NH派生。
[0022]如果終端接入其它受控基站時,對應(yīng)的受控基站密鑰由主控基站根據(jù)之前未被使用過的主控基站密鑰或NH派生。
[0023]受控基站密鑰由主控基站計(jì)算/派生,然后通過主控基站與受控基站之間的接口發(fā)送給受控基站。
[0024]所述主控基站選擇非當(dāng)前基站密鑰時,用于:使用最新的基站密鑰,即最近一次被派生的基站密鑰,該基站密鑰是當(dāng)前基站密鑰或非當(dāng)前基站密鑰。
[0025]所述主控基站在派生密鑰時,用于:基于初始密鑰,根據(jù)特定密鑰派生函數(shù)計(jì)算派生密鑰,其中特定密鑰派生函數(shù)包括單向函數(shù)。
[0026]在終端與其接入的受控基站需要執(zhí)行密鑰更新時,對應(yīng)的新的受控基站密鑰由主控基站根據(jù)舊的受控基站密鑰派生。
[0027]所述的主控基站是長期演進(jìn)LTE系統(tǒng)中的無線接入網(wǎng)側(cè)基站。
[0028]一種安全密鑰管理裝置,該裝置為終端,所述裝置用于維護(hù)兩套主控基站的基站密鑰:當(dāng)前基站密鑰和非當(dāng)前基站密鑰;其中,所述非當(dāng)前基站密鑰指當(dāng)前沒有被主控基站和終端使用的密鑰,由當(dāng)前基站密鑰或NH或舊的非當(dāng)前基站密鑰派生;所述當(dāng)前基站密鑰指當(dāng)前被主控基站和終端使用的密鑰,用于派生其他控制面和/或用戶面密鑰,所述當(dāng)前基站密鑰同時有且只有一個存在。
[0029]一種安全密鑰管理系統(tǒng),該系統(tǒng)包括主控基站和終端,所述主控基站和終端分別用于維護(hù)兩套主控基站的基站密鑰:當(dāng)前基站密鑰和非當(dāng)前基站密鑰;其中,所述非當(dāng)前基站密鑰指當(dāng)前沒有被主控基站和終端使用的密鑰,由當(dāng)前基站密鑰或NH或舊的非當(dāng)前基站密鑰派生;所述當(dāng)前基站密鑰指當(dāng)前被主控基站和終端使用的密鑰,用于派生其他控制面和/或用戶面密鑰,所述當(dāng)前基站密鑰同時有且只有一個存在。
[0030]所述主控基站是LTE系統(tǒng)中的無線接入網(wǎng)側(cè)基站。
[0031]采用本發(fā)明提供的安全密鑰管理技術(shù),可以對終端的多連接提供足夠的安全保護(hù),多連接下的安全性得以明顯提高,并可以防止在終端連接的微基站發(fā)生頻繁變更時,多連接的密鑰被破解或被泄露的風(fēng)險隨變更成正比,即可以保證多連接的安全強(qiáng)度在可控的范圍之內(nèi)。
【專利附圖】
【附圖說明】
[0032]圖1為LTE用戶面協(xié)議棧示意圖;
[0033]圖2為現(xiàn)有網(wǎng)絡(luò)中密鑰派生和保護(hù)機(jī)制示意圖;
[0034]圖3為切換場景下基站密鑰派生的方法示意圖;
[0035]圖4為雙連接場景示意圖;
[0036]圖5為雙連接安全密鑰管理方法示意圖;
[0037]圖6為密鑰派生算法示意圖;
[0038]圖7為雙連接安全密鑰管理場景示意圖;
[0039]圖8為雙連接安全密鑰派生機(jī)制示意圖。
【具體實(shí)施方式】
[0040]本發(fā)明的示例性實(shí)施例提供一種安全密鑰管理方法,所述方法使得終端同時接入兩個(或多個)無線接入網(wǎng)節(jié)點(diǎn)時擁有較強(qiáng)的安全密鑰或安全配置,從而保證雙連接的安全性。
[0041]如圖5所示,主控基站和終端維護(hù)兩套主控基站的基站密鑰:當(dāng)前基站密鑰和非當(dāng)前基站密鑰;其中,所述非當(dāng)前基站密鑰指當(dāng)前沒有被主控基站和終端使用的密鑰,由當(dāng)前基站密鑰或NH或舊的非當(dāng)前基站密鑰派生,所述非當(dāng)前基站密鑰可以直接轉(zhuǎn)為當(dāng)前基站密鑰或用以派生新的當(dāng)前基站密鑰,此時原有當(dāng)前基站密鑰失效;所述當(dāng)前基站密鑰指當(dāng)前被主控基站和終端使用的密鑰,用于派生其他控制面和/或用戶面密鑰,所述當(dāng)前基站密鑰同時有且只有一個存在。
[0042]進(jìn)一步地,選擇非當(dāng)前基站密鑰的方法為:使用最新的基站密鑰,即最近一次被派生的基站密鑰,該基站密鑰可能是當(dāng)前基站密鑰或非當(dāng)前基站密鑰。
[0043]如圖5所示,終端與其接入的受控基站的基站密鑰,由主控基站的密鑰(包括當(dāng)前基站密鑰或非當(dāng)前基站密鑰)派生,但同一個主控基站密鑰最多只能被使用一次用以派生受控基站密鑰。
[0044]如圖5所示,終端與其接入的受控基站的第一個受控基站密鑰S-KeNB由主控基站根據(jù)當(dāng)前基站密鑰或非當(dāng)前基站密鑰或NH派生。
[0045]進(jìn)一步地,如果終端接入其它受控基站時,對應(yīng)的受控基站密鑰由主控基站根據(jù)之前未被使用過的主控基站密鑰或NH派生。
[0046]可選的,在終端與其接入的受控基站需要執(zhí)行密鑰更新時,對應(yīng)的新的受控基站密鑰S-KeNB*由舊的受控基站密鑰S-KeNB派生。
[0047]進(jìn)一步地,如圖6所示,所述的密鑰派生方法為:基于初始密鑰(密鑰I)根據(jù)特定密鑰派生函數(shù)計(jì)算派生密鑰(密鑰2),其中特定密鑰派生函數(shù)可以包括任何單向函數(shù),具體計(jì)算方法可以依具體實(shí)現(xiàn)而定,在此不做限制。
[0048]進(jìn)一步地,在網(wǎng)絡(luò)側(cè),受控基站密鑰由主控基站計(jì)算/派生,然后通過主控基站與受控基站之間的接口發(fā)送給受控基站。
[0049]進(jìn)一步地,所述的主控基站和受控基站是LTE系統(tǒng)中的無線接入網(wǎng)側(cè)基站的統(tǒng)稱,可以是宏基站或微基站或低功率節(jié)點(diǎn)(LPN)或小小區(qū)基站(Small Cell)或家庭基站(HeNB)等。在具體實(shí)現(xiàn)中依網(wǎng)絡(luò)部署而定。
[0050]下面結(jié)合不同的實(shí)施例對本發(fā)明進(jìn)行進(jìn)一步的說明。
[0051]具體實(shí)施例一:如圖7所示,部署網(wǎng)絡(luò)中存在宏基站(即主控基站)和若干微基站(即受控基站),其中終端I同時處于宏基站和在第一受控基站的覆蓋范圍中,且與兩者保持雙連接。本實(shí)施例以終端I在主控基站和第一受控基站中的密鑰管理為例。
[0052]終端I在Macro存在安全上下文,其中包括當(dāng)前主控基站密鑰KeNB,宏基站和終端I根據(jù)KeNB派生控制面和/或用戶面密鑰用以保護(hù)終端I與宏基站的信息傳遞。
[0053]宏基站根據(jù)KeNB或NH派生受控基站密鑰KeNB*,并傳遞給第一受控基站。其中,如果宏基站側(cè)有未被使用的NH,則使用NH派生KeNB*,否則使用KeNB派生KeNB* ;終端I也執(zhí)行相同的派生操作以得到相同的KeNB*。
[0054]終端I與受控基站分別根據(jù)KeNB*作為基站密鑰派生控制面和/或用戶面密鑰用以保護(hù)終端I與該微基站的信息傳遞。
[0055]此時,終端I與網(wǎng)絡(luò)側(cè)的兩個接入網(wǎng)元間分別采用兩套安全密鑰用以保護(hù)各自的無線連接。
[0056]具體實(shí)施例二:以具體實(shí)施例一的場景為基礎(chǔ)。本實(shí)施例進(jìn)一步以發(fā)生密鑰更新時的密鑰管理為例。
[0057]終端I在第一受控基站連接過程中,需要進(jìn)行密鑰更新,具體原因可以是rocp層序列號將要翻轉(zhuǎn),或網(wǎng)絡(luò)側(cè)算法或安全需求等。則宏基站根據(jù)第一受控基站的受控基站密鑰KeNB*派生新的受控基站密鑰KeNB**,并將該密鑰發(fā)送給第一受控基站。對應(yīng)的,終端I也執(zhí)行相同的密鑰派生操作以得到相同的KeNB**。
[0058]終端I與第一受控基站分別根據(jù)KeNB**作為基站密鑰派生控制面和/或用戶面密鑰用以保護(hù)終端I與該第一受控基站的信息傳遞。
[0059]進(jìn)一步地,網(wǎng)絡(luò)側(cè)由KeNB*到KeNB**的派生操作也可以由第一受控基站完成,而不需要宏基站計(jì)算。
[0060]進(jìn)一步地,后續(xù)過程中,終端I與第一受控基站還可以重復(fù)上述操作以完成新的密鑰更新。
[0061]具體實(shí)施例三:如圖7所示,部署網(wǎng)絡(luò)中存在宏基站(即主控基站)和若干微基站(即受控基站),終端2先與宏基站和第一受控基站建立雙連接,然后終端2移動到了第二受控基站的覆蓋范圍中,且重新完成與宏基站和第二受控基站的雙連接。本實(shí)施例以終端2在主控基站和第二受控基站中的密鑰管理為例。
[0062]終端2在宏基站存在安全上下文,其中包括當(dāng)前主控基站密鑰KeNB,并根據(jù)由KeNB派生的控制面和/或用戶面密鑰用以保護(hù)終端2與宏基站的信息傳遞。
[0063]如圖8所示,如果宏基站判斷當(dāng)前存在的基站密鑰都已經(jīng)被用于派生受控基站密鑰,則宏基站根據(jù)當(dāng)前基站密鑰KeNB或舊的非當(dāng)前密鑰KeNB’派生新的非當(dāng)前主控基站密鑰KeNB”,然后根據(jù)新的非當(dāng)前主控基站密鑰KeNB”派生第二受控基站密鑰KeNB*,并傳遞給第二受控基站。其中宏基站選擇新的非當(dāng)前基站密鑰的方法為:使用最新的基站密鑰(即最近一次被派生的基站密鑰,該基站密鑰可能是當(dāng)前基站密鑰或非當(dāng)前基站密鑰);如果宏基站判斷當(dāng)前存在未被用于派生操作的受控基站密鑰,則直接根據(jù)該密鑰派生第二受控基站密鑰。終端2執(zhí)行與宏基站相同的密鑰派生方式,獲得KeNB*。
[0064]終端2與第二受控基站分別根據(jù)KeNB*作為基站密鑰派生控制面和/或用戶面密鑰用以保護(hù)終端2與該微基站的信息傳遞。
[0065]具體實(shí)施例四:以具體實(shí)施例三的場景為基礎(chǔ),本實(shí)施例進(jìn)一步說明主控基站的密鑰更新方法。
[0066]如果終端2與宏基站之間的密鑰需要更新(具體原因可以是rocp序列號將要翻轉(zhuǎn),或者是處于安全或算法考慮),則:
[0067]方法一,將當(dāng)前安全上下文中最新的非當(dāng)前基站密鑰轉(zhuǎn)為當(dāng)前基站密鑰,此時宏基站只需要與終端2執(zhí)行相同的操作,用最新的非當(dāng)前基站密鑰替換當(dāng)前基站密鑰,以作為新的當(dāng)前基站密鑰(即完成了主控基站的密鑰更新);
[0068]方法二,根據(jù)當(dāng)前安全上下文中的最新基站密鑰(可能是當(dāng)前基站密鑰或者是非當(dāng)前基站密鑰)派生新的主控基站的當(dāng)前密鑰。
[0069]具體實(shí)施例五:如圖7所示,部署網(wǎng)絡(luò)中存在宏基站(即主控基站)和若干微基站(即受控基站),終端3同時處于與宏基站、第三受控基站和第四受控基站的連接狀態(tài)(此時的雙連接實(shí)為多連接)。本實(shí)施例以終端3在主控基站、第三受控基站和第四受控基站中的密鑰管理為例,這里連接的建立順序以宏基站至第三受控基站再到第四受控基站為例。
[0070]終端3在宏基站存在安全上下文,其中包括當(dāng)前主控基站密鑰KeNB,并根據(jù)由KeNB派生的控制面和/或用戶面密鑰保護(hù)終端3與宏基站的信息傳遞。
[0071]如果宏基站判斷當(dāng)前存在未被使用的NH,則使用NH派生第三受控基站密鑰KeNB*_3,否則宏基站判斷當(dāng)前是否存在未被使用的主控基站密鑰,如果存在則使用該主控基站密鑰派生第三受控基站密鑰KeNB*_3,否則需要先用最新的主控基站密鑰派生新的主控基站密鑰KeNB’,然后根據(jù)新的KeNB’派生第三首控基站密鑰KeNB*_3。
[0072]因?yàn)樽钚碌闹骺鼗久荑€已經(jīng)被用于派生第三受控基站密鑰,因此宏基站根據(jù)最近的主控基站密鑰KeNB’,首先派生新的主控基站密鑰KeNB”,然后進(jìn)一步根據(jù)KeNB”派生第四受控基站密鑰KeNB*_4。
[0073]終端3使用相同的密鑰派生方式獲得KeNB*_3和KeNB*_4。并與第三受控基站和第四受控基站根據(jù)KeNB*_3和KeNB*_4作為受控基站密鑰分別派生控制面和/或用戶面密鑰用以保護(hù)終端3與對應(yīng)受控基站的信息傳遞。
[0074]此時,終端3與網(wǎng)絡(luò)側(cè)的三個接入網(wǎng)元間分別采用三套安全密鑰用以保護(hù)各自的無線連接。
[0075]進(jìn)一步地,如果上述過程中主控基站或者受控基站的密鑰需要執(zhí)行密鑰更新,則可以分別借鑒具體實(shí)施例四和具體實(shí)施例二中所述方法執(zhí)行。
[0076]通過上述實(shí)施例可以看出,主控基站根據(jù)本基站密鑰靈活決定受控基站密鑰的派生方法,從而得到相對獨(dú)立的受控基站密鑰,這樣即使受控基站密鑰被攻破也不會影響到主控基站的數(shù)據(jù)傳遞,同時如果受控基站或主控基站發(fā)生密鑰更新時,也會相對獨(dú)立而不會影響到對方。另外采用上述派生方法也避免了在所有受控基站中使用重復(fù)密鑰的可能性,從最大程度上減小了密鑰泄露的風(fēng)險。
[0077]需要說明的是,本發(fā)明的上述實(shí)施例只是對宏基站和微基站部署場景的一些典型流程提出了可行的實(shí)施方案,但同樣適用于其他的部署場景,比如宏基站與宏基站,微基站與微基站,宏基站與HeNB或LPN,以及HeNB與微基站等等任意組合場景,另外本發(fā)明所述流程也不限制還有其他的消息流程。
[0078]綜上所述可見,無論是方法、裝置還是系統(tǒng),采用本發(fā)明提供的安全密鑰管理技術(shù),可以對終端的多連接提供足夠的安全保護(hù),多連接下的安全性得以明顯提高,并可以防止在終端連接的微基站發(fā)生頻繁變更時,多連接的密鑰被破解或被泄露的風(fēng)險隨變更成正t匕,即可以保證多連接的安全強(qiáng)度在可控的范圍之內(nèi)。
[0079]以上所述,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。
【權(quán)利要求】
1.一種安全密鑰管理方法,其特征在于,該方法包括: 主控基站和/或終端維護(hù)兩套主控基站的基站密鑰:當(dāng)前基站密鑰和非當(dāng)前基站密鑰;其中,所述非當(dāng)前基站密鑰指當(dāng)前沒有被主控基站和終端使用的密鑰,由當(dāng)前基站密鑰或下一跳NH或舊的非當(dāng)前基站密鑰派生;所述當(dāng)前基站密鑰指當(dāng)前被主控基站和終端使用的密鑰,用于派生其他控制面和/或用戶面密鑰,所述當(dāng)前基站密鑰同時有且只有一個存在。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,終端與其接入的受控基站的基站密鑰,由主控基站的密鑰(包括當(dāng)前基站密鑰或非當(dāng)前基站密鑰)派生,但同一個主控基站密鑰最多只能被使用一次用以派生受控基站密鑰。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,終端與其接入的受控基站的第一個受控基站密鑰由主控基站根據(jù)當(dāng)前基站密鑰或非當(dāng)前基站密鑰或NH派生。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,如果終端接入其它受控基站時,對應(yīng)的受控基站密鑰由主控基站根據(jù)之前未被使用過的主控基站密鑰或NH派生。
5.根據(jù)權(quán)利要求2所述的方法,其特征在于,受控基站密鑰由主控基站計(jì)算/派生,然后通過主控基站與受控基站之間的接口發(fā)送給受控基站。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法還包括選擇非當(dāng)前基站密鑰的方法為:使用最新的基站密鑰,即最近一次被派生的基站密鑰,該基站密鑰是當(dāng)前基站密鑰或非當(dāng)前基站密鑰。
7.根據(jù)權(quán)利要求1至6任一項(xiàng)所述的方法,其特征在于,所述的密鑰派生方法為:基于初始密鑰,根據(jù)特定密鑰派生函數(shù)計(jì)算派生密鑰,其中特定密鑰派生函數(shù)包括單向函數(shù)。
8.根據(jù)權(quán)利要求1所述的方法,其特征在于,在終端與其接入的受控基站需要執(zhí)行密鑰更新時,對應(yīng)的新的受控基站密鑰由舊的受控基站密鑰派生。
9.一種安全密鑰管理裝置,該裝置為主控基站,其特征在于,所述裝置用于維護(hù)兩套主控基站的基站密鑰:當(dāng)前基站密鑰和非當(dāng)前基站密鑰;其中,所述非當(dāng)前基站密鑰指當(dāng)前沒有被主控基站和終端使用的密鑰,由當(dāng)前基站密鑰或NH或舊的非當(dāng)前基站密鑰派生;所述當(dāng)前基站密鑰指當(dāng)前被主控基站和終端使用的密鑰,用于派生其他控制面和/或用戶面密鑰,所述當(dāng)前基站密鑰同時有且只有一個存在。
10.根據(jù)權(quán)利要求9所述的裝置,其特征在于,終端與其接入的受控基站的基站密鑰,由主控基站的密鑰(包括當(dāng)前基站密鑰或非當(dāng)前基站密鑰)派生,但同一個主控基站密鑰最多只能被使用一次用以派生受控基站密鑰。
11.根據(jù)權(quán)利要求10所述的裝置,其特征在于,終端與其接入的受控基站的第一個受控基站密鑰由主控基站根據(jù)當(dāng)前基站密鑰或非當(dāng)前基站密鑰或NH派生。
12.根據(jù)權(quán)利要求10所述的裝置,其特征在于,如果終端接入其它受控基站時,對應(yīng)的受控基站密鑰由主控基站根據(jù)之前未被使用過的主控基站密鑰或NH派生。
13.根據(jù)權(quán)利要求10所述的裝置,其特征在于,受控基站密鑰由主控基站計(jì)算/派生,然后通過主控基站與受控基站之間的接口發(fā)送給受控基站。
14.根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述主控基站選擇非當(dāng)前基站密鑰時,用于:使用最新的基站密鑰,即最近一次被派生的基站密鑰,該基站密鑰是當(dāng)前基站密鑰或非當(dāng)前基站密鑰。
15.根據(jù)權(quán)利要求9至14任一項(xiàng)所述的裝置,其特征在于,所述主控基站在派生密鑰時,用于:基于初始密鑰,根據(jù)特定密鑰派生函數(shù)計(jì)算派生密鑰,其中特定密鑰派生函數(shù)包括單向函數(shù)。
16.根據(jù)權(quán)利要求9所述的裝置,其特征在于,在終端與其接入的受控基站需要執(zhí)行密鑰更新時,對應(yīng)的新的受控基站密鑰由主控基站根據(jù)舊的受控基站密鑰派生。
17.根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述的主控基站是長期演進(jìn)LTE系統(tǒng)中的無線接入網(wǎng)側(cè)基站。
18.一種安全密鑰管理裝置,該裝置為終端,其特征在于,所述裝置用于維護(hù)兩套主控基站的基站密鑰:當(dāng)前基站密鑰和非當(dāng)前基站密鑰;其中,所述非當(dāng)前基站密鑰指當(dāng)前沒有被主控基站和終端使用的密鑰,由當(dāng)前基站密鑰或NH或舊的非當(dāng)前基站密鑰派生;所述當(dāng)前基站密鑰指當(dāng)前被主控基站和終端使用的密鑰,用于派生其他控制面和/或用戶面密鑰,所述當(dāng)前基站密鑰同時有且只有一個存在。
19.一種安全密鑰管理系統(tǒng),該系統(tǒng)包括主控基站和終端,其特征在于,所述主控基站和終端分別用于維護(hù)兩套主控基站的基站密鑰:當(dāng)前基站密鑰和非當(dāng)前基站密鑰;其中,所述非當(dāng)前基站密鑰指當(dāng)前沒有被主控基站和終端使用的密鑰,由當(dāng)前基站密鑰或NH或舊的非當(dāng)前基站密鑰派生;所述當(dāng)前基站密鑰指當(dāng)前被主控基站和終端使用的密鑰,用于派生其他控制面和/或用戶面密鑰,所述當(dāng)前基站密鑰同時有且只有一個存在。
20.根據(jù)權(quán)利要求19所述的系統(tǒng),其特征在于,所述主控基站是LTE系統(tǒng)中的無線接入網(wǎng)側(cè)基站。
【文檔編號】H04W12/04GK104185177SQ201310202007
【公開日】2014年12月3日 申請日期:2013年5月27日 優(yōu)先權(quán)日:2013年5月27日
【發(fā)明者】和峰 申請人:中興通訊股份有限公司