從基站密鑰更新方法、從基站����、終端及通信系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及通信領域的信息安全技術,尤其涉及一種從基站密鑰更新方法���、從基站、終端及通信系統(tǒng)�。
【背景技術】
[0002]長期演進(Long Term Evolut1n,簡稱LTE)網絡,由演進全球陸地無線接入網(Evolved Universal Terrestrial Rad1 Access Network,簡稱 E-UTRAN)和演進分組交換中心(Evolved Packet Core,簡稱EPC)組成,且網絡結構呈現(xiàn)扁平化����。
[0003]所述EUTRAN通過SI接口與EPC相連。所述EUTRAN由多個相互連接的演進基站(Evolved NodeB����,簡稱eNB)組成,各個eNB之間通過X2接口連接�����。
[0004]所述EPC由移動性管理實體(Mobility Management Entity,簡稱MME)和服務網關實體(Serving Gateway,簡稱 S-GW)組成�。
[0005]在所述長期演進網絡的系統(tǒng)架構中還有一個歸屬環(huán)境(Home Environment, HE)即歸屬用戶服務器(Home Subscriber Server, HSS)或歸屬位置寄存器(Home Locat1nRegister�����,HLR)�,作為用戶數據庫����。它包含用戶配置文件,執(zhí)行用戶的身份驗證和授權�,并可提供有關用戶物理位置的信息等。
[0006]為了滿足日益增長的大帶寬高速移動接入的需求��,第三代伙伴組織計劃(ThirdGenerat1n Partnership Pro jects,簡稱 3GPP)推出高級長期演進(Long-Term Evolut1nadvance,簡稱 LTE-Advanced)標準�����。LTE-Advanced 對于長期演進(Long-Term Evolut1n,簡稱LTE)系統(tǒng)的演進保留了 LTE的核心���,在此基礎上采用一系列技術對頻域���、空域進行擴充,以達到提高頻譜利用率�����、增加系統(tǒng)容量等目的���。在某些應用場景下,會使用到小小區(qū)(Small Cell�����,簡稱SC)增強技術���,用來提高用戶的吞吐量��。
[0007]SC增強技術的主要實現(xiàn)方式就是雙連接(dual connectivity),如圖1所示�。一個用戶設備(UE)同時連接兩個小區(qū)����,一個是主小區(qū)(Macro Cell),—個是從小區(qū)(Smallcell)��。主小區(qū)所在的基站被稱為主基站(Macro eNodeB,簡稱MeNB)���,從小區(qū)所在的基站被稱為從基站(small eNodeB, or secondary eNodeB,簡稱SeNB)���。UE與基站之間的信令面功能通過主基站來完成,用戶面通過UE與主基站和從基站共同完成�,即UE既與主基站有用戶面連接��,也與從基站有用戶面連接����,簡稱雙連接����。
[0008]雙連接的主要技術就是主基站與從基站之間的用戶名協(xié)議棧功能的分配問題,目前有幾種備選的方案���,主要的一種就是圖2所示的方案�。該方案中�����,主基站的用戶名和控制面都保持不變�����,從基站的用戶名協(xié)議棧包括從rocp層到PHY層所有層��。從基站直接與S-GW連接��,之間的接口 Sl-U與之前的完全相同��。UE被轉移的DRB,在空口上����,UE直接與從基站相連,來傳遞被轉移的DRB�。
[0009]UE與MeNB之間的空口安全所使用的密鑰由UE與CN之間的AKA過程產生,即KeNB��。而SeNB由MeNB選擇�,此過程并不與CN交互,所以UE與SeNB之間的空口安全所使用的密鑰(簡稱S-KeNB)不能由CN來產生��。MeNB向SeNB首次轉移DRB時����,SeNB所使用的密鑰由MeNB推導,基于M-KeNB和MeNB內部計數器SCC產生�;然后由MeNB傳遞給SeNB�����。如果后續(xù)MeNB向其他的SeNB轉移該UE的DRB時���,MeNB仍基于M-KeNB和SCC產生���,然后發(fā)給新的SeNB�。MeNB每推導一次S_KeNB�,SCC增加I。而在MeNB多次向同一個SeNB轉移DRB時�����,S-KeNB如何更新都是待解決的問題����。
【發(fā)明內容】
[0010]有鑒于此,本發(fā)明在于提供一種從基站密鑰更新方法�、從基站、終端及通信系統(tǒng)����,簡化從基站密鑰更新方法,提高從基站與終端之間的信息安全性��。
[0011]為達到上述目的���,本發(fā)明的技術方案是這樣實現(xiàn)的:
[0012]本發(fā)明第一方面提供一種從基站密鑰更新方法�����,所述方法包括:
[0013]依據當前從基站密鑰以及ISC推導新的從基站密鑰�;
[0014]其中,所述ISC為推導從基站密鑰的計數值��。
[0015]基于上述方案��,在所述從基站密鑰以及ISC推導新的從基站密鑰之后���,所述方法還包括:
[0016]向主基站發(fā)送添加修改DRB命令消息�;所述DRB命令消息包括所述ISC �;
[0017]其中,所述ISC由所述主基站通過RRC重配置請求消息發(fā)送到終端���;
[0018]所述RRC重配置請求消息用于指示終端依據所述ISC及當前從基站密鑰推導新的從基站密鑰��,并依據所述RRC重配置請求消息及所述新的從基站密鑰建立與所述從基站的連接�����。
[0019]基于上述方案,在所述從基站依據當前從基站密鑰以及ISC推導新的從基站密鑰之前�,所述方法還包括:
[0020]接收主基站發(fā)送的添加修改DRB請求消息;
[0021]判斷所述添加修改DRB請求消息中是否有攜帶從基站密鑰;
[0022]若否�,則進入所述從基站依據當前從基站密鑰以及ISC推導新的從基站密鑰的步驟。
[0023]基于上述方案�����,
[0024]在所述從基站依據當前從基站密鑰以及ISC推導新的從基站密鑰之前�����,所述方法還包括:
[0025]依據密鑰推導決策判斷是否觸發(fā)更新從基站密鑰�����;
[0026]若是�����,則進入所述從基站依據當前從基站密鑰以及ISC推導新的從基站密鑰的步驟���。
[0027]基于上述方案����;所述依據密鑰推導決策判斷是否觸發(fā)更新從基站密鑰包括:
[0028]判斷當前從基站密鑰是失效����;
[0029]若失效則觸發(fā)更新的從基站密鑰����;或
[0030]判斷從基站與終端的從基站密鑰是否同步���;
[0031]若不同步則觸發(fā)更新的從基站密鑰���。
[0032]基于上述方案,所述從基站依據當前從基站密鑰以及ISC推導新的從基站密鑰包括:
[0033]依據從基站密鑰�、ISC及推導參數推導新的從基站密鑰。
[0034]基于上述方案�,
[0035]所述推導參數包括小區(qū)物理標識和/或小區(qū)載頻;
[0036]所述小區(qū)為由所述從基站覆蓋所形成的小區(qū)���。
[0037]基于上述方案��,在所述依據從基站密鑰及ISC推導新的從基站密鑰之后�,所述方法包括:
[0038]更新所述I SC�。
[0039]本發(fā)明第二方面提供一種從基站密鑰更新方法,�����,所述方法包括:
[0040]接收主基站發(fā)送的RRC重配置請求消息;所述RRC重配置請求消息中包括ISC ��;
[0041]根據所述ISC及當前從基站密鑰推導新的新的從基站密鑰�����;
[0042]根據所述RRC重配置請求消息和所述新的從基站密鑰�����,與從基站建立連接�;
[0043]其中��,所述ISC為推導從基站密鑰的計數值��。
[0044]本發(fā)明第三方面提供一種從基站密鑰更新方法���,所述方法包括:
[0045]從基站依據當前從基站密鑰以及ISC推導新的從基站密鑰�����;
[0046]從基站向主基站發(fā)送添加修改DRB命令消息���;所述DRB命令消息包括所述ISC ����;
[0047]主基站接收所述添加修改DRB命令消息��;
[0048]主基站向終端發(fā)送RRC重配置請求消息�;所述RRC重配置消息包含所述ISC ;
[0049]終端接收所述RRC重配置請求消息����;
[0050]終端依據所述ISC及當前從基站密鑰推導新的從基站密鑰;
[0051]終端依據所述RRC重配置消息及所述新的從基站密鑰與從基站建立連接�����。
[0052]其中��,所述ISC為推導從基站密鑰的計數值��。
[0053]基于上述方案����,在所述從基站依據當前從基站密鑰以及ISC推導新的從基站密鑰之前,所述方法還包括:
[0054]主基站發(fā)送添加修改DRB請求消息�����;
[0055]從基站接收所述添加修改DRB請求消息;
[0056]從基站依據判斷所述添加修改DRB請求消息中是否有攜帶從基站密鑰��;
[0057]若否�,則從基站執(zhí)行所述從基站依據當前從基站密鑰以及ISC推導新的從基站密鑰的步驟。
[0058]基于上述方案����,在所述從基站依據當前從基站密鑰以及ISC推導新的從基站密鑰之前���,所述方法還包括
[0059]從基站依據密鑰推導決策判斷是否觸發(fā)更新從基站密鑰�;
[0060]若是�����,從基站執(zhí)行所述從基站依據當前從基站密鑰以及ISC推導新的從基站密鑰的步驟����。
[0061]基于上述方案,所述從基站依據密鑰推導決策判斷是否觸發(fā)更新從基站密鑰包括:
[0062]從基站判斷當前從基站密鑰是失效�;
[0063]若失效則從基站自行觸發(fā)更新的從基站密鑰;或
[0064]從基站判斷從基站與終端的從基站S鑰是否同步��;
[0065]若不同步則從基站自行觸發(fā)更新的從基站密鑰����。
[0066]基于上述方案��,在所述從基站向主基站發(fā)送添加修改DRB命令消息之后��,所述方法還包括:
[0067]從基站更新所述I SC��。
[0068]本發(fā)明第四方面提供一種從基站�����,所述從基站包括:
[0069]第一推導單元�,用于依據當前從基站密鑰以及ISC推導新的從基站密鑰�����;
[0070]其中�����,所述ISC為推導從基站密鑰的計數器的計數值�����。
[0071]基于上述方案���,所述從基站還包括第一接收單元�����;
[0072]所述第一發(fā)送單元����,用于在所述從基站密鑰以及ISC推