【技术实现步骤摘要】
本专利技术涉及移动通信技术,尤指一种实现接入层安全的方法及用户设备和节点。
技术介绍
蜂窝无线移动通信系统始于20世纪80年代,从一开始满足人类的语音通信需求发展到了后来在语音业务的基础上逐步满足人类的基础数据通信需求。传统蜂窝无线通信系统由无线网络运营商部署并运营,网络的建设经过运营商的缜密规划,图1为传统蜂窝无线接入网络的网络拓扑示意图,如图1所示,各个宏基站(MNB,macro(e)NB)的选址由运营商规划确定,每个宏基站可以达到几百米甚至几千米的无线覆盖,从而可以实现运营商运营区域内的近乎连续无缝覆盖。随着移动互联时代的到来,新的移动应用需求,尤其是那些要求高质量、高速率、低延时的移动应用需求出现了爆发式的增长。根据行业预测,一方面,在未来10年内,无线移动业务量将出现上千倍的增长,传统实现长距离宏覆盖的无线通信系统无法实现如此巨大的容量需求;另一方面,业界通过对用户通信行为和习惯的统计发现,大部分高数据流量的移动业务集中出现在室内环境和热点地区,比如商场,学校,用户家里,大型演出、集会场所等,而室内环境和热点地区具有区域分布广而散、单区域范围小、用户集中等特点,也就是说,传统蜂窝无线网络的广覆盖、均匀覆盖、固定覆盖特点使得其无法很好的适应这种小区域范围内业务集中出现的特性。此外,传统蜂窝无线网络由于各种各样的原因,比如建筑物的阻挡等会造成蜂窝无线信号在室内环境不如室外环境,这也使得传统蜂窝无线网络无法满足将来室内环境下的大数据容量需求。为了解决上述问题,一种无线接入网节点(SRAN-node,SmallRadioAccessNetworknod ...
【技术保护点】
一种实现接入层安全的方法,其特征在于,包括:执行用户设备UE与初始接入节点之间的端到端无线接入链路接入层安全;以及执行初始接入节点和网关节点之间的端到端无线回程链路接入层安全;其中,UE经过至少两段无线空中接口与核心网通信的通信路径;所述通信路径中,至少包括UE,初始接入节点,网关节点;当所述通信路径包括两段无线空中接口时,UE与初始接入节点之间通过无线接入链路通信,初始接入节点与网关节点之间通过无线回程链路通信。
【技术特征摘要】
1.一种实现接入层安全的方法,其特征在于,包括:执行用户设备UE与初始接入节点之间的端到端无线接入链路接入层安全;以及执行初始接入节点和网关节点之间的端到端无线回程链路接入层安全;其中,UE经过至少两段无线空中接口与核心网通信的通信路径;所述通信路径中,至少包括UE,初始接入节点,网关节点;当所述通信路径包括两段无线空中接口时,UE与初始接入节点之间通过无线接入链路通信,初始接入节点与网关节点之间通过无线回程链路通信。2.根据权利要求1所述的方法,其特征在于,当所述通信路径包括大于两段无线空中接口时,所述通信路径中还包括至少一个中间路由节点;当所述通信路径中包括一个中间路由节点时,所述初始接入节点与所述中间路由节点之间通过无线回程链路通信,所述中间路由节点与所述网关节点之间通过无线回程链路通信;当所述通信路径中包括两个或两个以上中间路由节点时,还包括:所述中间路由节点之间通过无线回程链路通信。3.根据权利要求1或2所述的方法,其特征在于,所述UE与初始接入节点之间采用无线接入空中接口Uu口;所述初始接入节点与网关节点之间采用无线回程接口Ub口。4.根据权利要求2所述的方法,其特征在于,所述中间路由节点和所述初始接入节点之间采用无线回程接口Ub口,所述中间路由节点和所述网关节点之间采用无线回程接口Ub口;当所述中间路由节点为两个或两个以上时,所述中间路由节点之间采用无线接入空中接口Ub口。5.根据权利要求1或2所述的方法,其特征在于,所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点;所述网关节点为能够通过有线接口接入所述核心网的无线接入小节点或宏基站;所述中间路由节点为实现所述初始接入节点和网关节点之间的通信从而最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。6.根据权利要求1或2所述的方法,其特征在于,所述执行UE与初始接入节点之间的端到端无线接入链路接入层安全包括:执行所述UE与所述初始接入节点之间的端到端无线接入链路用户面加密,以及执行所述UE与所述初始接入节点之间的端到端无线接入链路控制面加密和控制面完整性保护;所述执行初始接入节点和网关节点之间的端到端无线回程链路接入层安全包括:执行所述初始接入节点和所述网关节点之间的端到端无线回程链路用户面加密和用户面完整性保护。7.根据权利要求6所述的方法,其特征在于,在所述初始接入节点的PDCP-s和所述网关节点的PDCP-s层之间执行端到端线回程链路接入层安全。8.根据权利要求7所述的方法,其特征在于,所述初始接入节点的无线回程接口Ub接口侧和所述网关节点的无线回程接口Ub接口侧从下到上分别包括使用长期演进LTE技术的物理层L1、媒体接入层MAC、无线链路控制层RLC、数据包汇聚协议瘦身层PDCP-t,和数据包汇聚协议安全层PDCP-s;所述中间路由节点从下到上包括使用LTE技术的L1,MAC和RLC协议层;或者,包括使用LTE技术的L1、MAC、RLC和PDCP-t协议层;如果所述初始接入节点和所述网关节点上的PDCP-s层和PDCP-t层合并到一个协议层则为PDCP层;或者,所述初始接入节点的无线回程接口Ub接口侧和所述网关节点的无线回程接口Ub接口侧从下到上分别包括使用无线局域网WLAN技术的L1、MAC、逻辑链路控制层LLC,和PDCP-s协议层;所述中间路由节点从下到上包括使用WLAN技术的L1、MAC和LLC协议层。9.根据权利要求7所述的方法,其特征在于,所述执行初始接入节点和网关节点之间的端到端无线回程链路用户面加密和用户面完整性保护包括:所述UE的用户面数据,在通过无线接入空中接口Uu口发送给所述初始接入节点后,所述初始接入节点在将UE的用户面数据发送到无线回程接口Ub口之前,在所述初始接入节点的PDCP-s层执行加密和完整性保护,数据发送到所述网关节点之后,由所述网关节点在PDCP-s层进行解密和完整性验证;相应地,所述网关节点从核心网获取到需要发送给UE的用户面数据,在发送到无线回程接口Ub口前,在所述网关节点的PDCP-s层执行加密和完整性保护,数据发送到所述初始接入节点后,由所述初始接入节点在PDCP-s层进行解密和完整性验证。10.根据权利要求7所述的方法,其特征在于,所述PDCP-s层用于实现:头压缩和解压缩,以及安全操作;其中安全操作包括:加密,解密,完整性保护和完整性验证。11.根据权利要求6所述的方法,其特征在于,所述执行UE与初始接入节点之间的端到端无线接入链路用户面加密,以及所述执行UE与初始接入节点之间的端到端无线接入链路控制面加密和控制面完整性保护包括:所述UE的上行用户面数据和上行RRC层控制面信令在发送到空中接口之前,分别在UE的PDCP层执行针对用户面数据的用户面加密以及针对RRC层控制面信令的控制面加密和完整性保护;所述初始接入节点接收到所述用户面数据或所述RRC层控制面信令后,对用户面数据和RRC层控制面信令进行解密并对RRC层控制面信令进行完整性验证;相应地,所述初始接入节点发送给UE的下行用户面数据和RRC层控制面信令在发送到空中接口之前,分别在初始接入节点的PDCP层执行对用户面数据的用户面加密以及对RRC层控制面信令的控制面加密和完整性保护;所述UE接收到用户面数据或RRC层控制面信令后,对所述用户面数据和所述RRC层控制面信令进行解密和对RRC层控制面信令进行完整性验证。12.根据权利要求11所述的方法,其特征在于,所述UE和所述初始节
\t点的无线接入空中接口Uu接口侧上从下到上分别包括L1、MAC、RLC,以及数据包汇聚协议层PDCP协议层;所述执行UE与初始接入节点之间的端到端无线接入链路接入层安全,所述方法包括:在所述UE的PDCP和所述初始接入节点的PDCP层之间执行端到端控制面接入层安全。13.根据权利要求6所述的方法,其特征在于,该方法之前还包括:所述初始接入节点和所述网关节点之间生成所述执行初始接入节点与网关节点之间端到端无线回程链路用户面加密和无线回程链路用户面完整性保护所需要的无线回程链路用户面加密密钥KUP-Wenc和无线回程链路用户面完整性保护密钥KUP-Wint,包括:所述初始接入节点和所述网关节点基于无线回程链路接入层安全根密钥KeNB-FAN生成所述无线回程链路用户面加密密钥KUP-Wenc和所述无线回程链路用户面完整性保护密钥KUP-Wint;其中,所述初始接入节点的无线回程链路接入层安全根密钥KeNB-FAN为所述初始接入节点与所述核心网之间执行鉴权和密钥协商AKA过程和非接入层NAS层安全过程后生成的;其中,所述网关节点的无线回程链路接入层安全根密钥KeNB-FAN为所述初始接入节点与所述核心网之间执行鉴权和密钥协商AKA过程和非接入层NAS层安全过程后,由所述核心网发送给所述网关节点的。14.根据权利要求6所述的方法,其特征在于,该方法之前还包括:所述UE与所述初始接入节点之间生成所述执行UE与初始接入节点之间端到端无线接入链路用户面加密所需要的用户面加密密钥KUPenc,以及生成所述执行UE与所述初始接入节点之间端到端无线接入链路控制面加密和控制面完整性保护所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint,包括:所述UE和所述网关节点基于无线接入链路接入层安全根密钥KeNB生成所述用户面加密密钥KUPenc,以及生成所述控制面加密密钥KRRCenc和所述
\t控制面完整性保护密钥KRRCint;所述网关节点将所述生成的用户面加密密钥KUPenc,控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint发送给所述初始接入节点;或,所述UE和所述网关节点基于无线接入链路接入层安全根密钥KeNB、所述初始接入节点的小区的EARFCN-DL,以及PCI生成一个新的无线接入链路接入层根密钥KeNB*;所述网关节点将所述生成的KeNB*发送给所述初始接入节点;所述UE和所述初始接入节点基于所述KeNB*生成所述用户面加密密钥KUPenc,以及生成所述控制面加密密钥KRRCenc和所述控制面完整性保护密钥KRRCint;其中,所述UE的无线接入链路接入层安全根密钥KeNB为所述UE与所述核心网之间执AKA过程和NAS层安全过程后生成的;其中,所述网关节点的无线接入链路接入层安全根密钥KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后,由所述核心网发送给所述网关节点的。15.根据权利要求14所述的方法,其特征在于,该方法还包括:所述网关节点将所述生成的用户面加密密钥KUPenc,控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint发送给所述初始接入节点,包括:所述网关节点向所述初始接入节点发送携带有所述用户面加密密钥KUPenc,控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint的消息,对所述消息执行所述初始接入节点和所述网关节点之间的端到端无线回程链路用户面加密和用户面完整性保护;所述网关节点将所述生成的KeNB*发送给所述初始接入节点,包括:所述网关节点向所述初始接入节点发送携带有所述KeNB*的消息,对所述消息执行所述初始接入节点和所述网关节点之间的端到端无线回程链路用户面加密和用户面完整性保护。16.一种用户设备UE,其特征在于,至少包括第一处理模块、第一无线接入链路处理模块;其中,第一处理模块,用于与核心网之间实现AKA过程和NAS层安全;第一无线接入链路处理模块,用于执行与初始接入节点之间的端到端无线接入链路接入层...
【专利技术属性】
技术研发人员:施小娟,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。