用于执行数据完整性保护的方法和计算设备技术

源网络节点在重建过程中执行以下动作：确定存在未使用的下一跳参数、下一跳链接计数器对；基于确定步骤，计算水平派生密钥和垂直派生密钥；使用所述水平派生密钥计算安全令牌；以及将所述水平派生密钥、垂直派生密钥、安全令牌和下一跳链接计数器发送给目标网络节点。令牌和下一跳链接计数器发送给目标网络节点。令牌和下一跳链接计数器发送给目标网络节点。

【技术实现步骤摘要】
【国外来华专利技术】用于执行数据完整性保护的方法和计算设备


[0001]本公开总体上涉及无线网络通信，并且更具体地，涉及用于执行数据完整性保护的方法和计算设备。

技术介绍

[0002]在蜂窝系统中，当网络节点(例如，基站)和无线通信设备(例如，用户设备(UE))之间的链路恶化时，网络节点将发起切换过程。
[0003]切换过程涉及目标节点的准备，其中源节点将把无线通信设备的必要上下文传递到目标节点，从而使得无线通信设备可以在目标节点中继续会话。然后，源节点将向无线通信设备发送切换命令，该命令包括接入目标节点所需的信息。然后，无线通信设备将使用此信息接入目标节点，并在目标节点中继续会话。
[0004]然而，在某些情况下，由于无线电条件的迅速恶化，无线通信设备可能未接收到切换命令。在这种情况下，无线通信设备会出现无线链路故障(RLF)。为了摆脱这种情况，无线通信设备可以重新选择更好的小区/节点并尝试通常被称为“重建过程”的操作。这涉及无线通信设备发送重建消息，使目标节点能够识别无线通信设备并重新初始化链路的安全性并重新建立无线电资源。
[0005]通常，仅当先前已经在无线通信设备和网络节点之间建立了安全性时，重建过程才可以被调用。然而，在当前的无线网络中，重建请求(例如，UE到基站)和重建响应(或者仅仅是重建消息，例如从基站发送到UE)是在没有加密的情况下发送的。
附图说明
[0006]尽管所附权利要求书特别阐明了本技术的特征，但是从结合附图的以下详细描述中，可以最好地理解这些技术及其目的和优点，其中：
[0007]图1描绘了其中可以采用各种实施例的无线网络环境。
[0008]图2描绘了在各种实施例中使用的计算机硬件架构。
[0009]图3描述了当前的密钥链模型。
[0010]图4描绘了当前的重建过程。
[0011]图5示出了可替选的重建过程。
[0012]图6描绘了一种情况，其中如果将垂直派生密钥传递到目标节点，则需要附加的信令。
[0013]图7描绘了根据实施例的重建过程。
[0014]图8描绘了根据实施例的由源节点执行的切换准备过程。
[0015]图9描绘了根据实施例的由UE执行的切换准备过程。
[0016]图10描绘了根据实施例的由目标节点执行的切换准备过程。
具体实施方式
[0017]在各种实施例中，源网络节点在重建过程中执行以下动作：确定存在未使用的下一跳参数、下一跳链接计数器对；基于确定步骤，计算水平派生密钥和垂直派生密钥；使用所述水平派生密钥计算安全令牌；将所述水平派生密钥、垂直派生密钥、安全令牌和下一跳链接计数器发送给目标网络节点。
[0018]在一个实施例中，计算所述水平派生密钥包括源网络节点根据用于在源网络节点和无线通信设备之间的通信的当前激活密钥计算所述水平派生密钥。
[0019]根据一个实施例，计算所述垂直派生密钥包括源网络节点根据未使用的下一跳参数计算所述垂直派生密钥。
[0020]在一个实施例中，所述源网络节点执行附加动作，包括：确定不存在用于第二无线通信设备的未使用的下一跳参数、下一跳链接计数器对；基于不存在未使用的下一跳参数、下一跳链接计数器对的确定，计算第二水平派生密钥而不创建垂直派生密钥；使用所述第二水平派生密钥计算第二安全令牌；以及向目标节点发送所述第二水平派生密钥、第二安全令牌和先前的下一跳链接计数器0。
[0021]根据一个实施例，源网络节点执行附加动作，包括：基于重建请求中包括的标识符来识别无线通信设备，并检索相应的安全令牌。
[0022]在各种实施例中，目标网络节点在重建过程中执行以下动作：确定水平派生密钥和垂直派生密钥已经被作为通信重建请求对象的无线通信设备接收到；基于从所述无线通信设备接收到的安全令牌与从源网络节点接收到的安全令牌的比较来验证所述无线通信设备的真实性；向所述无线通信设备发送加密的重建命令，其中使用以接收到的水平派生密钥作为基本密钥计算出的密钥对所述重建命令进行加密；以及使用所述垂直派生密钥作为基本密钥来计算加密和完整性保护密钥。
[0023]根据一个实施例，所述目标网络节点执行附加动作，包括：使用所述加密和完整性保护密钥来加密和完整性保护发送给所述无线通信设备的后续消息。
[0024]在一个实施例中，所述目标网络节点执行附加动作，包括：使用所述加密和完整性保护密钥来解密和验证从所述无线通信设备接收到的后续消息的完整性。
[0025]根据一个实施例，所述目标网络节点执行附加动作，包括：确定对于所述第二无线通信设备仅接收到水平派生密钥；基于从所述无线通信设备接收到的安全令牌与从源网络节点接收到的安全令牌的比较，验证所述无线通信设备的真实性；以及使用以接收到的所述水平派生密钥作为基本密钥而计算出的密钥，向所述第二无线通信设备发送加密的所述重建命令。
[0026]在一个实施例中，所述目标网络节点执行附加动作，包括：使用针对所述第二无线通信设备的水平派生密钥作为基本密钥，来计算针对所述第二无线通信设备的加密和完整性保护密钥。
[0027]在各个实施例中，无线通信设备(例如，用户设备)在重建过程中执行以下动作：接收包括下一跳链接计数器的值的重建消息；使用以所述水平派生密钥作为基本密钥计算出的密钥对接收到的所述重建消息解密；基于接收到的下一跳链接计数器值与先前接收到的下一跳链接计数器值的比较，确定所述下一跳链接计数器已经改变；以及基于确定步骤，使用垂直密钥派生来派生新的密钥，并使用所述垂直派生密钥作为基本密钥来派生加密和完
整性保护密钥。
[0028]在一个实施例中，所述无线通信设备执行附加动作，包括针对后续通信使用新密钥以及加密和完整性保护密钥。
[0029]根据一个实施例，所述无线通信设备执行附加动作，包括：接收包括用于下一跳链接计数器的第二值的第二重建消息；基于接收到的第二下一跳链接计数器的值与先前接收到的下一跳链接计数器的值的比较，确定所述下一跳链接计数器没有改变；并且基于所述下一跳链接计数器没有改变的确定，使用水平派生密钥作为用于对后续消息加密和完整性保护的所有密钥的基础。
[0030]在一个实施例中，所述无线通信设备执行附加动作，包括：计算水平派生密钥；使用计算出的水平派生密钥来计算安全令牌；以及在重建请求中向目标网络节点所述安全令牌。
[0031]现在将参照图1来描述在其中可以执行本文描述的各种实施例的无线网络环境的一般描述。图1的RAN包括与无线通信设备交互的一个或多个网络节点(例如，基站、增强的(演进的)node B等)。例如，图1描绘了无线通信设备102与RAN内的网络节点(例如，无线基站)104通信。
[0032]在一个实施例中，图1的RAN具有许多未示出的组件，包括其他网络节点、其他无线通信设备、无线基础设施、有线基础设施以及在通信网络中常见的其他设备。无线通信设备102的示例实现包括智能手机、平板电脑、膝上型计算机和非传统设备(例如本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种由源网络节点执行的方法，所述方法包括：确定存在未使用的下一跳参数、下一跳链接计数器对；基于确定步骤，计算水平派生密钥和垂直派生密钥；使用所述水平派生密钥计算安全令牌；以及将所述水平派生密钥、垂直派生密钥、安全令牌和下一跳链接计数器发送给目标网络节点。2.根据权利要求1所述的方法，其中计算所述水平派生密钥包括所述源网络节点根据当前激活密钥计算所述水平派生密钥，所述当前激活密钥用于在所述源网络节点和所述无线通信设备之间的通信。3.根据权利要求1所述的方法，其中计算所述垂直派生密钥包括所述源网络节点根据未使用的下一跳参数计算所述垂直派生密钥。4.根据权利要求1所述的方法，还包括：确定不存在用于第二无线通信设备的未使用的下一跳参数、下一跳链接计数器对；基于确定不存在未使用的下一跳参数、下一跳链接计数器对，计算第二水平派生密钥，而不创建垂直派生密钥；使用所述第二水平派生密钥计算第二安全令牌；以及将所述第二水平派生密钥、第二安全令牌和先前的下一跳链接计数器发送给所述目标节点。5.根据权利要求1所述的方法，还包括：基于重建请求中包括的标识符来识别所述无线通信设备，并检索相应的安全令牌。6.一种在目标网络节点上执行的方法，所述方法包括：确定已接收到无线通信设备的水平派生密钥和垂直派生密钥；基于从所述无线通信设备接收的安全令牌与从源网络节点接收的安全令牌的比较来验证所述无线通信设备的真实性；向所述无线通信设备发送加密的重建命令，其中使用以所接收到的水平派生密钥作为基本密钥计算出的密钥来对所述重建命令进行加密；以及使用所述垂直派生密钥作为基本密钥来计算加密和完整性保护密钥。7.根据权利要求6所述的方法，还包括：使用所述加密和完整性保护密钥来加密和完整性保护发送给所述无线通信设备的后续消息。8.根据权利要求6所述的方法，还包括：使用所述加密和完整性保护密钥来解密和验证从所述无线通信设备接收到的后续消息的完整性。9.根据权利要求6所述的方法，还包括：确定对于所述第二无线通...

【专利技术属性】
技术研发人员：黄河，埃斯瓦尔，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：