Sce所用的設(shè)備�����、系統(tǒng)和方法
【專利摘要】為了支持MeNB(20)和SeNB(30)處的單獨(dú)加密,MeNB(20)根據(jù)第三密鑰(KeNB)推導(dǎo)單獨(dú)的第一密鑰和第二密鑰(KUPenc?M,KUPenc?S)����。第一密鑰(KUPenc?M)用于機(jī)密地保護(hù)MeNB(20)和UE(10)之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)。第一密鑰(KUPenc?M)可以與當(dāng)前的KUPenc或新的密鑰相同�����。第二密鑰(KUPenc?S)用于機(jī)密地保護(hù)UE(10)和SeNB(30)之間的經(jīng)由U面所傳輸?shù)牡诙I(yè)務(wù)��。MeNB(20)將第二密鑰(KUPenc?S)發(fā)送至SeNB(30)��。UE(10)與MeNB(20)進(jìn)行協(xié)商���,并且基于協(xié)商的結(jié)果來推導(dǎo)第二密鑰(KUPenc?S)。
【專利說明】
SGE所用的設(shè)備����、系統(tǒng)和方法
技術(shù)領(lǐng)域
[0001 ] 本發(fā)明涉及SCE(Small Cell Enhancement,小小區(qū)增強(qiáng))或還被稱為“雙連接(dual connectivity)”所用的設(shè)備����、系統(tǒng)和方法,并且特別涉及用以管理SCE所用的密鑰的技術(shù)。
【背景技術(shù)】
[0002]如非專利文獻(xiàn)I和2所公開的�,3GPP(3rdGenerat1n Partnership Project,第三代合作伙伴計(jì)劃)已研究了 SCE所用的協(xié)議架構(gòu)�。
[0003]此外,例如�����,非專利文獻(xiàn)3公開了:為了使MeNB(Master evolved Node B�����,主演進(jìn)型節(jié)點(diǎn)B)卸載的目的��,經(jīng)由MeNB和SeNB(Second eNB����,次eNB)并行地傳輸U(kuò)面(用戶面)業(yè)務(wù)。
[0004]此外�����,非專利文獻(xiàn)4公開了:對(duì)于非專利文獻(xiàn)3所公開的U面協(xié)議架構(gòu)�����,需要支持MeNB和SeNB處的單獨(dú)加密。
[0005]注意���,例如���,在非專利文獻(xiàn)5中公開了LTE(Long Term Evolut1n,長(zhǎng)期演進(jìn))安全規(guī)格���。
[0006]引文列表
[0007]非專利文獻(xiàn)
[0008]非專利文獻(xiàn)1:3GPP TR 36.842�,“Evolved Universal Terrestrial Rad1Access(E-UTRA)�����;Study on Small Cell Enhancements for E-UTRA and E-UTRAN-Higherlayer aspects(Release 12)”����,V1.0.0,2013-11,第8.1.I款����,pp.32_47
[0009]非專利文獻(xiàn)2:3GPPTR 36.932�,“Scenar1s and requirements for small cellenhancements for E-UTRA and E_UTRAN(Release 12)”,V12.I.0���,2013-03
[0010]非專利文獻(xiàn)3:R2-133650����,3GPPTSG RAN WG2Meeting#83bis,“Reply LS onsecurity aspects of protocol architectures for small cell enhancements��,��,
[0011]非專利文獻(xiàn)4:RP-132069�,3GPPTSG-RAN Meeting#62,“New Work ItemDescript1n����;Dual Connectivity for LTE-Core Part,���,��,第8款
[0012]非專利文獻(xiàn)5:3GPPTS 33.401�,“3GPP System Architecture Evolut1n(SAE)�;Security architecture(ReIease 12)”,V12.9.0���,2013-09
【發(fā)明內(nèi)容】
[0013]發(fā)明要解決的問題
[0014]然而�,本申請(qǐng)的發(fā)明人已發(fā)現(xiàn),存在現(xiàn)有的解決方案無(wú)法滿足非專利文獻(xiàn)4所公開的要求的問題��。
[0015]因此��,本發(fā)明的示例性目的是提供用于支持MeNB和SeNB處的單獨(dú)加密的解決方案����。
[0016]用于解決問題的方案
[0017]為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明的第一示例性方面的一種無(wú)線基站包括:推導(dǎo)部件��,用于根據(jù)第二密鑰推導(dǎo)第一密鑰����,所述第一密鑰用于機(jī)密地保護(hù)不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE(用戶設(shè)備)之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù),其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?,所述第二密鑰在所述無(wú)線基站和所述UE之間共享;以及發(fā)送部件�����,用于將所述第一密鑰發(fā)送至所述不同的無(wú)線基站O
[0018]此外�,根據(jù)本發(fā)明的第二示例性方面的一種無(wú)線基站,包括:接收部件����,用于從核心網(wǎng)接收第一密鑰;發(fā)送部件,用于將所述第一密鑰發(fā)送至不同的無(wú)線基站�,以供所述不同的無(wú)線基站推導(dǎo)第二密鑰,所述第二密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)���,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0019]此外�,根據(jù)本發(fā)明的第三示例性方面的一種無(wú)線基站�����,包括:推導(dǎo)部件��,用于以與切換過程相同的方式��,根據(jù)第二密鑰推導(dǎo)第一密鑰��,所述第一密鑰用于不同的無(wú)線基站以推導(dǎo)第三密鑰��,所述第三密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)��,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?���,所述第二密鑰在所述無(wú)線基站和所述UE之間共享;以及發(fā)送部件���,用于將所述第一密鑰發(fā)送至所述不同的無(wú)線基站���。
[0020]此外�,根據(jù)本發(fā)明的第四示例性方面的一種無(wú)線基站包括:發(fā)送部件�,用于將隨機(jī)值發(fā)送至不同的無(wú)線基站,以供所述不同的無(wú)線基站推導(dǎo)用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)的密鑰��,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0021 ]此外�����,根據(jù)本發(fā)明的第五示例性方面的一種無(wú)線基站�,包括:推導(dǎo)部件,用于根據(jù)第二密鑰推導(dǎo)第一密鑰�����,所述第一密鑰用于不同的無(wú)線基站以推導(dǎo)第三密鑰�,所述第三密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù),其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?����,所述第二密鑰在所述無(wú)線基站和所述UE之間共享��;以及發(fā)送部件,用于將所述第一密鑰發(fā)送至所述不同的無(wú)線基站���。
[0022]此外,根據(jù)本發(fā)明的第六示例性方面的一種無(wú)線基站�����,包括:接收部件����,用于從UE無(wú)線連接至的不同的無(wú)線基站接收用于機(jī)密地保護(hù)UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)的密鑰,其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)?���,該密鑰不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰。
[0023]此外���,根據(jù)本發(fā)明的第七示例性方面的一種無(wú)線基站��,包括:接收部件�����,用于從UE無(wú)線連接至的不同的無(wú)線基站接收第一密鑰�����;以及推導(dǎo)部件��,用于根據(jù)所述第一密鑰推導(dǎo)第二密鑰�����,所述第二密鑰用于機(jī)密地保護(hù)所述UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)���,其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)?�,所述第二密鑰不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰��。
[0024]此外���,根據(jù)本發(fā)明的第八示例性方面的一種無(wú)線基站,包括:接收部件����,用于從UE無(wú)線連接至的不同的無(wú)線基站接收隨機(jī)值;以及推導(dǎo)部件�,用于通過使用所述隨機(jī)值來推導(dǎo)用于機(jī)密地保護(hù)所述UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)的密鑰,其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)模撁荑€不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰��。
[0025]此外���,根據(jù)本發(fā)明的第九示例性方面的節(jié)點(diǎn)配置在核心網(wǎng)內(nèi)����。該節(jié)點(diǎn)包括:推導(dǎo)部件����,用于推導(dǎo)密鑰����;以及發(fā)送部件,用于將所述密鑰發(fā)送至UE無(wú)線連接至的無(wú)線基站��。該密鑰用于不同的無(wú)線基站����,以推導(dǎo)用于機(jī)密地保護(hù)該不同的無(wú)線基站和無(wú)線連接至無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)的密鑰,其中該業(yè)務(wù)是與無(wú)線基站和UE之間的經(jīng)由U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0026]此外�,根據(jù)本發(fā)明的第十示例性方面的一種UE,包括:協(xié)商部件���,用于與所述UE無(wú)線連接至的無(wú)線基站進(jìn)行協(xié)商���;以及推導(dǎo)部件��,用于基于所述協(xié)商的結(jié)果來推導(dǎo)用于機(jī)密地保護(hù)不同的無(wú)線基站和所述UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)的密鑰��,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0027]此外����,根據(jù)本發(fā)明的第十一示例性方面的一種通信系統(tǒng)�����,包括:UE;所述UE無(wú)線連接至的第一無(wú)線基站�;以及第二無(wú)線基站。所述第一無(wú)線基站被配置為:根據(jù)第二密鑰推導(dǎo)第一密鑰�����,所述第一密鑰用于機(jī)密地保護(hù)所述第二無(wú)線基站和所述UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)�����,其中該業(yè)務(wù)是與所述第一無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?,所述第二密鑰在所述第一無(wú)線基站和所述UE之間共享�����;以及將所述第一密鑰發(fā)送至所述第二無(wú)線基站��。所述第二無(wú)線基站被配置為從所述第一無(wú)線基站接收所述第一密鑰�����。所述UE被配置為:與所述第一無(wú)線基站進(jìn)行協(xié)商�;以及基于所述協(xié)商的結(jié)果來推導(dǎo)所述第一密鑰�����。
[0028]此外��,根據(jù)本發(fā)明的第十二示例性方面的一種通信系統(tǒng)����,包括:UE;所述UE無(wú)線連接至的第一無(wú)線基站;第二無(wú)線基站�����;以及節(jié)點(diǎn)�,其配置在核心網(wǎng)內(nèi)。所述節(jié)點(diǎn)被配置為:推導(dǎo)第一密鑰;以及將所述第一密鑰發(fā)送至所述第一無(wú)線基站�����。所述第一無(wú)線基站被配置為:從所述節(jié)點(diǎn)接收所述第一密鑰����;以及將所述第一密鑰發(fā)送至所述第二無(wú)線基站。所述第二無(wú)線基站被配置為:從所述第一無(wú)線基站接收所述第一密鑰��;以及根據(jù)所述第一密鑰來推導(dǎo)第二密鑰��,所述第二密鑰用于機(jī)密地保護(hù)所述UE和所述第二無(wú)線基站之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)���,其中該業(yè)務(wù)是與所述UE和所述第一無(wú)線基站之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?���。所述UE被配置為:與所述第一無(wú)線基站進(jìn)行協(xié)商�;以及基于所述協(xié)商的結(jié)果來推導(dǎo)所述第二密鑰。
[0029]此外�����,根據(jù)本發(fā)明的第十三示例性方面的一種通信系統(tǒng)�����,包括:UE;所述UE無(wú)線連接至的第一無(wú)線基站;以及第二無(wú)線基站�。所述第一無(wú)線基站被配置為:根據(jù)第二密鑰推導(dǎo)第一密鑰,所述第一密鑰用于不同的所述第二無(wú)線基站以推導(dǎo)第三密鑰��,所述第三密鑰用于機(jī)密地保護(hù)所述UE和所述第二無(wú)線基站之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)�����,其中該業(yè)務(wù)是與所述UE和所述第一無(wú)線基站之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?�,所述第二密鑰在所述第一無(wú)線基站和所述UE之間共享�;以及將所述第一密鑰發(fā)送至所述第二無(wú)線基站。所述第二無(wú)線基站被配置為:從所述第一無(wú)線基站接收所述第一密鑰�;以及通過使用所述第一密鑰來推導(dǎo)所述第三密鑰。所述UE被配置為:與所述第一無(wú)線基站進(jìn)行協(xié)商�����;以及基于所述協(xié)商的結(jié)果來推導(dǎo)所述第三密鑰�����。
[0030]此外���,根據(jù)本發(fā)明的第十四示例性方面的一種通信系統(tǒng)����,包括:UE;所述UE無(wú)線連接至的第一無(wú)線基站��;以及第二無(wú)線基站�����。所述第一無(wú)線基站被配置為將隨機(jī)值發(fā)送至所述第二無(wú)線基站�。所述第二無(wú)線基站被配置為:從所述第一無(wú)線基站接收所述隨機(jī)值;以及通過使用所述隨機(jī)值來推導(dǎo)用于機(jī)密地保護(hù)所述UE和所述第二無(wú)線基站之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)的密鑰����,該業(yè)務(wù)是與所述UE和所述第一無(wú)線基站之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹K鯱E被配置為:與所述第一無(wú)線基站進(jìn)行協(xié)商�;以及基于所述協(xié)商的結(jié)果來推導(dǎo)所述密鑰。
[0031]此外��,根據(jù)本發(fā)明的第十五示例性方面的方法提供用于控制無(wú)線基站中的操作的方法���。該方法包括以下步驟:根據(jù)第二密鑰推導(dǎo)第一密鑰��,所述第一密鑰用于機(jī)密地保護(hù)不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)����,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)模龅诙荑€在所述無(wú)線基站和所述UE之間共享�����;以及將所述第一密鑰發(fā)送至所述不同的無(wú)線基站����。
[0032]此外,根據(jù)本發(fā)明的第十六示例性方面的方法提供用于控制無(wú)線基站中的操作的方法����。該方法包括以下步驟:從核心網(wǎng)接收第一密鑰;以及將所述第一密鑰發(fā)送至不同的無(wú)線基站���,以供所述不同的無(wú)線基站推導(dǎo)第二密鑰����,所述第二密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)����,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0033]此外�����,根據(jù)本發(fā)明的第十七示例性方面的方法提供用于控制無(wú)線基站中的操作的方法。該方法包括以下步驟:以與切換過程相同的方式���,根據(jù)第二密鑰推導(dǎo)第一密鑰����,所述第一密鑰用于不同的無(wú)線基站以推導(dǎo)第三密鑰��,所述第三密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)���,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?��,所述第二密鑰在所述無(wú)線基站和所述UE之間共享;以及將所述第一密鑰發(fā)送至所述不同的無(wú)線基站����。
[0034]此外,根據(jù)本發(fā)明的第十八示例性方面的方法提供用于控制無(wú)線基站中的操作的方法�。該方法包括以下步驟:將隨機(jī)值發(fā)送至不同的無(wú)線基站,以供所述不同的無(wú)線基站推導(dǎo)用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)的密鑰�����,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0035]此外,根據(jù)本發(fā)明的第十九示例性方面的方法提供用于控制無(wú)線基站中的操作的方法��。該方法包括以下步驟:根據(jù)第二密鑰推導(dǎo)第一密鑰�,所述第一密鑰用于不同的無(wú)線基站以推導(dǎo)第三密鑰,所述第三密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)�,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)模龅诙荑€在所述無(wú)線基站和所述UE之間共享�����;以及將所述第一密鑰發(fā)送至所述不同的無(wú)線基站���。
[0036]此外����,根據(jù)本發(fā)明的第二十示例性方面的方法提供用于控制無(wú)線基站中的操作的方法����。該方法包括以下步驟:從UE無(wú)線連接至的不同的無(wú)線基站接收用于機(jī)密地保護(hù)所述UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)的密鑰,其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)?��,所述密鑰不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰��。
[0037]此外����,根據(jù)本發(fā)明的第二十一示例性方面的方法提供用于控制無(wú)線基站中的操作的方法����。該方法包括以下步驟:從UE無(wú)線連接至的不同的無(wú)線基站接收第一密鑰;以及根據(jù)所述第一密鑰推導(dǎo)第二密鑰�����,所述第二密鑰用于機(jī)密地保護(hù)所述UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)�,其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)模龅诙荑€不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰�。
[0038]此外,根據(jù)本發(fā)明的第二十二示例性方面的方法提供用于控制無(wú)線基站中的操作的方法�����。該方法包括以下步驟:從UE無(wú)線連接至的不同的無(wú)線基站接收隨機(jī)值;通過使用所述隨機(jī)值來推導(dǎo)用于機(jī)密地保護(hù)所述UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)的密鑰�����,其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)?��,所述密鑰不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰��。
[0039]此外����,根據(jù)本發(fā)明的第二十三示例性方面的方法提供用于控制配置在核心網(wǎng)內(nèi)的節(jié)點(diǎn)中的操作的方法。該方法包括以下步驟:推導(dǎo)密鑰��;以及將所述密鑰發(fā)送至UE無(wú)線連接至的無(wú)線基站�����。該密鑰用于不同的無(wú)線基站��,以推導(dǎo)用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)的密鑰�����,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0040]此外���,根據(jù)本發(fā)明的第二十四示例性方面的方法提供用于控制UE中的操作的方法�����。該方法包括以下步驟:與所述UE無(wú)線連接至的無(wú)線基站進(jìn)行協(xié)商���;以及基于所述協(xié)商的結(jié)果來推導(dǎo)用于機(jī)密地保護(hù)不同的無(wú)線基站和所述UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)的密鑰����,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0041]此外��,根據(jù)本發(fā)明的第二十五示例性方面的方法提供一種用于保護(hù)移動(dòng)通信系統(tǒng)中的通信的方法�����,所述移動(dòng)通信系統(tǒng)包括UE(用戶設(shè)備)和多個(gè)基站�����,所述UE能夠連接至所述多個(gè)基站以進(jìn)行雙連接�����。該方法包括以下步驟:利用第一基站�����,根據(jù)第一密鑰來推導(dǎo)第二密鑰;利用所述第一基站���,將所述第二密鑰發(fā)送至第二基站;利用所述第二基站����,根據(jù)所述第二密鑰來推導(dǎo)第三密鑰;利用所述第一基站�����,將與第四密鑰有關(guān)的信息或參數(shù)發(fā)送至所述UE;以及利用所述UE�����,推導(dǎo)用戶面的加密所用的所述第四密鑰���。所述第三密鑰和所述第四密鑰是相同的密鑰��,并且使用所述相同的密鑰來對(duì)所述第二基站和所述UE之間的通信進(jìn)行加密�����。
[0042]此外�����,根據(jù)本發(fā)明的第二十六示例性方面的一種移動(dòng)通信系統(tǒng)��,包括:第一基站�;第二基站;以及用戶設(shè)備即UE��,其能夠連接至所述第一基站和所述第二基站���,以進(jìn)行雙連接�����。所述第一基站根據(jù)第一密鑰來推導(dǎo)第二密鑰,并且將所述第二密鑰發(fā)送至所述第二基站�。所述第二基站根據(jù)所述第二密鑰來推導(dǎo)第三密鑰。所述第一基站將與第四密鑰有關(guān)的信息或參數(shù)發(fā)送至所述UE����。所述UE推導(dǎo)用戶面的加密所用的所述第四密鑰。所述第三密鑰和所述第四密鑰是相同的密鑰���,并且使用所述相同的密鑰來對(duì)所述第二基站和所述UE之間的通信進(jìn)行加密���。
[0043]此外,根據(jù)本發(fā)明的第二十七示例性方面的基站在移動(dòng)通信系統(tǒng)中進(jìn)行雙連接���。該基站包括:第一單元�,用于連接用戶設(shè)備即UE;以及第二單元,用于根據(jù)從不同基站所接收到的不同密鑰來推導(dǎo)密鑰���。所推導(dǎo)出的密鑰與所述UE所推導(dǎo)出的密鑰相同�����,并且用于對(duì)與所述UE的通信進(jìn)行加密�����。
[0044]此外���,根據(jù)本發(fā)明的第二十八示例性方面的UE(用戶設(shè)備)用在移動(dòng)通信系統(tǒng)中。該UE包括:第一單元���,用于連接至第一基站和第二基站�����,以進(jìn)行雙連接��;以及第二單元�,用于推導(dǎo)密鑰�����。所述第一單元從所述第一基站接收與加密密鑰有關(guān)的信息或參數(shù)。所述第二單元推導(dǎo)所述加密密鑰��。所述加密密鑰與所述第二基站所推導(dǎo)出的密鑰相同��,并且用于對(duì)與所述第二基站的通信進(jìn)行加密���。
[0045]發(fā)明的效果
[0046]根據(jù)本發(fā)明���,可以解決上述問題,因而可以提供用于支持MeNB和SeNB處的單獨(dú)加密的解決方案�����。
【附圖說明】
[0047]圖1是示出本發(fā)明的第一典型實(shí)施例?第四典型實(shí)施例通用的通信系統(tǒng)中的C面協(xié)議架構(gòu)的示例的框圖��。
[0048]圖2是示出第一典型實(shí)施例?第四典型實(shí)施例通用的通信系統(tǒng)中的U面協(xié)議架構(gòu)的示例的框圖��。
[0049]圖3是示出根據(jù)第一典型實(shí)施例的通信系統(tǒng)中的密鑰層級(jí)的一個(gè)示例的框圖�����。
[0050]圖4是示出根據(jù)第一典型實(shí)施例的通信系統(tǒng)中的操作的示例的序列圖����。
[0051]圖5是示出根據(jù)第一典型實(shí)施例的通信系統(tǒng)中的密鑰層級(jí)的另一示例的框圖。
[0052]圖6是示出根據(jù)第二典型實(shí)施例的通信系統(tǒng)中的密鑰層級(jí)的一個(gè)示例的框圖���。
[0053]圖7是示出根據(jù)第二典型實(shí)施例的通信系統(tǒng)中的操作的一個(gè)示例的序列圖��。
[0054]圖8是示出根據(jù)第二典型實(shí)施例的通信系統(tǒng)中的密鑰層級(jí)的另一示例的框圖����。
[0055]圖9是示出根據(jù)第二典型實(shí)施例的通信系統(tǒng)中的操作的另一示例的序列圖��。
[0056]圖10是示出根據(jù)第三典型實(shí)施例的通信系統(tǒng)中的操作的示例的框圖����。
[0057]圖11是示出根據(jù)第四典型實(shí)施例的通信系統(tǒng)中的密鑰層級(jí)的示例的框圖。
[0058]圖12是示出第一典型實(shí)施例?第四典型實(shí)施例通用的第一無(wú)線基站的結(jié)構(gòu)示例的框圖�。
[0059]圖13是示出第一典型實(shí)施例?第四典型實(shí)施例通用的第二無(wú)線基站的結(jié)構(gòu)示例的框圖。
[0060]圖14是示出根據(jù)第二典型實(shí)施例的節(jié)點(diǎn)的結(jié)構(gòu)示例的框圖��。
[0061]圖15是示出第一典型實(shí)施例?第四典型實(shí)施例通用的UE的結(jié)構(gòu)示例的框圖����。
[0062]圖16是示出非專利文獻(xiàn)I所公開的U面架構(gòu)IA的框圖。
【具體實(shí)施方式】
[0063]以下將利用附圖來說明根據(jù)本發(fā)明的無(wú)線基站、節(jié)點(diǎn)和UE��、以及這些無(wú)線基站�����、節(jié)點(diǎn)和UE應(yīng)用于的通信系統(tǒng)的第一典型實(shí)施例?第四典型實(shí)施例�。
[0064]圖1示出第一典型實(shí)施例?第四典型實(shí)施例通用的通信系統(tǒng)中的C面(控制面)協(xié)議架構(gòu)的示例。
[0065]對(duì)于C面�����,通信系統(tǒng)包括UE10�、MeNB 20^SeNB 30和MME(Mobility ManagementEntity,移動(dòng)性管理實(shí)體)40��。1? 10經(jīng)由Uu接口與MeNB 20進(jìn)行通信�����。MeNB 20經(jīng)由X2-C接口與SeNB 30進(jìn)行通信��,并且經(jīng)由Sl-MME接口與MME 40進(jìn)行通信�����。經(jīng)由C面進(jìn)行鍵控相關(guān)信令���。
[0066]圖2示出通信系統(tǒng)中的U面協(xié)議架構(gòu)的示例�。
[0067]對(duì)于U面��,通信系統(tǒng)還包括SGW(Serving Gateway�,服務(wù)網(wǎng)關(guān))50。]^陬20和SeNB 30各自經(jīng)由Sl-U接口與SGW 50進(jìn)行通信����。在該架構(gòu)中,為了使MeNB 20卸載的目的(換句話說�����,為了使MeNB 20和SGW 50之間的回程Sl-U接口卸載的目的)����,經(jīng)由MeNB 20和SeNB 30并行地傳輸U(kuò)面業(yè)務(wù)。
[0068]接著����,將參考圖3?11來說明第一典型實(shí)施例?第四典型實(shí)施例的詳情。注意�����,后面將參考圖12?15來說明UE 10、MeNB 20^SeNB 30和MME 40的結(jié)構(gòu)示例���。
[0069]〈第一典型實(shí)施例:基于同一KeNB的新密鑰〉
[0070]在本典型實(shí)施例中���,根據(jù)同一KeNB來推導(dǎo)用于機(jī)密地保護(hù)UE 10與MeNB20和SeNB30之間的U面業(yè)務(wù)的新密鑰(以下有時(shí)稱為“UP密鑰” )oMeNB 20推導(dǎo)SeNB 30所用的UP密鑰,并且將該UP密鑰發(fā)送至SeNB 30����。
[0071 ]關(guān)于如何推導(dǎo)UP密鑰,如下所述存在兩個(gè)方案�。
[0072](方案I)
[0073]圖3不出該方案中的密鑰層級(jí)。圖不的密鑰層級(jí)包括KeNB���、KRRCenc�、KRRCint�����、KuPint��、
KuPenc 矛口 KllPenc-S ο
[0074]在這些密鑰中�����,KeNB是UE 10和MeNB 20之間的通信時(shí)所共享的密鑰����,并且可以由UE10和MME 40根據(jù)KASffi推導(dǎo)出。Krw是可以根據(jù)KeNB推導(dǎo)出����、并且用于利用特定加密算法保護(hù)RRC(Rad1 Resource Control,無(wú)線資源控制)業(yè)務(wù)的密鑰�����。KRmt是可以根據(jù)KeNB推導(dǎo)出�����、并且用于利用特定完整性算法保護(hù)RRC業(yè)務(wù)的密鑰�����。KUPint是可以根據(jù)K.推導(dǎo)出�����、并且用于利用特定完整性算法保護(hù)RN(Relay Node,中繼節(jié)點(diǎn))和DeNB(Donner eNB����,施主eNB)之間的U面業(yè)務(wù)的密鑰。KUPenc是可以根據(jù)KeNB推導(dǎo)出�����、并且用于利用特定加密算法保護(hù)UE和eNB之間的U面業(yè)務(wù)的密鑰����。
[0075]另一方面,Kufw-s是本典型實(shí)施例特有的新的UP密鑰�。稍后在以下的方案2中所述的Kw—m也是本典型實(shí)施例特有的新的UP密鑰。
[0076]在操作中�,如圖4所示��,MME40首先根據(jù)1(/?£推導(dǎo)1((^(步驟311)�,然后將所推導(dǎo)出的KeNB發(fā)送至MeNB 20(步驟S12)。
[0077]在需要的情況下���,SeNB 30向MeNB 20通知算法彳目息(步驟S13)�。例如���,該算法彳目息表示SeNB 30可以支持的加密所用的算法等��。
[0078]MeNB 20根據(jù)所接收到的KeNB來以彼此不同的方式推導(dǎo)Kupenc和Kupenc-S(步驟S14)�。
[0079]然后�,MeNB 20將所推導(dǎo)出的KUPenc—s發(fā)送至SeNB 30(步驟S15) JeNBSO可以將SeNB30處的加密所需的其它參數(shù)發(fā)送至SeNB 30。
[0080]與上述的步驟S14和S15并行地���,MeNB 20與UE 10進(jìn)行協(xié)商�,使得UE 10可以推導(dǎo)出相同的Kupenc和Kup.—s(步驟S16)�。具體地,MeNB 20將推導(dǎo)Kupenc-M和Kupenc-S所需的信息(諸如一些參數(shù)和表示加密算法的指示符等)發(fā)送至UE 10�。
[0081 ] UE 10基于通過協(xié)商所獲得的信息來推導(dǎo)Kupenc-M和Kupenc-S(步驟S17)。
[0082]注意���,盡管省略了圖示�����,但MeNB 20對(duì)UP密鑰(特別是對(duì)SeNB 30所用的UP密鑰)進(jìn)行管理�����,諸如UP密鑰的更新和/或刪除����、以及針對(duì)單獨(dú)PDCP(Packet Data ConvergenceProtocol,包數(shù)據(jù)匯聚協(xié)議)COUNT的控制等���。UElO還以與MeNB 20相同的方式對(duì)UP密鑰進(jìn)行管理���。這些說明同樣可以適用于以下的方案2以及第二典型實(shí)施例和第三典型實(shí)施例。
[0083]因而��,如圖4中的虛線所示�����,可以利用單獨(dú)的Kupenc和Kmw—s來保護(hù)UE 10與MeNB 20和SeNB 30之間的U面業(yè)務(wù)��。
[0084]在該方案中�����,ΚυΡ.可以是由典型的eNB根據(jù)KeNB可以推導(dǎo)出的現(xiàn)有密鑰。換句話說�����,在應(yīng)用該方案時(shí)對(duì)現(xiàn)有eNB的影響僅在于推導(dǎo)KUPenc—s�����,使得可以有效地推導(dǎo)UP密鑰�。
[0085](方案2)
[0086]圖5示出該方案中的密鑰層級(jí)��。圖示的密鑰層級(jí)與圖3所示的密鑰層級(jí)的不同之處在于:根據(jù)KuPenc來推導(dǎo)單獨(dú)的KUPenc-M和KUPenc-S��。
[0087]在操作中��,作為上述的圖4所示的步驟S14的替代���,MeNB20首先根據(jù)所接收到的
KeNB推導(dǎo)KuPenc�����,然后根據(jù)KuPen��。推導(dǎo)KuPen�。-M和KuPenc-S。
[0088]在該方案中���,新推導(dǎo)出KUPenc—M和KUPenc—s這兩者�����,使得可以與方案I相比更確定地進(jìn)行U面保護(hù)���。
[0089]〈第二典型實(shí)施例:基于不同的Κ.的新密鑰〉
[0090]在本典型實(shí)施例中,根據(jù)不同的KeNB來推導(dǎo)UP密鑰���。關(guān)于如何推導(dǎo)UP密鑰��,存在如下所述的兩個(gè)方案�。
[0091](方案I)
[0092]圖6示出該方案中的密鑰層級(jí)�。圖示的密鑰層級(jí)包括單獨(dú)的Ke3NB-M和Ke3NB-SC3Ke3NB-M是MeNB 20推導(dǎo)KRRCenc、KRRCint����、KuPint和KuPenc所使用的密鑰。另一方面�,KeNB-S是SeNB 30推導(dǎo)KuPenc所使用的密鑰。MeNB 20所推導(dǎo)出的Kupenc不同于SeNB 30所推導(dǎo)出的Kupenc,這是因?yàn)镵eNB—μ和KeNB-S彼此不同�����。
[0093]在操作中�,如圖7所示,MME 40首先根據(jù)Kasme推導(dǎo)單獨(dú)的KeNB—μ和KeNB—s(步驟S21)�,然后將所推導(dǎo)出的KeNB-M和KeNB—S發(fā)送至MeNB 20(步驟S22)。
[0094]在需要的情況下�����,SeNB 30向MeNB 20通知算法信息(步驟S23)����。
[0095]MeNB 20根據(jù)所接收到的KeNB—μ來推導(dǎo)自身的Kmw(步驟S24)��,然后將所接收到的KeNB—s發(fā)送至SeNB 30 (步驟S25)����。
[0096]SeNB 30根據(jù)所接收到的KeNB—s來推導(dǎo)自身的Kufw(步驟S26)。
[0097]與上述的步驟S24?S26并行地���,MeNB 20與UE 10進(jìn)行協(xié)商����,使得UE 10可以推導(dǎo)MeNB 20和SeNB 30所用的這兩個(gè)Kupenc(步驟S27)。具體地��,MeNB20將推導(dǎo)MeNB 20和SeNB 30所用的這兩個(gè)Kup.所需的信息(諸如一些參數(shù)和表示加密算法的指示符等)發(fā)送至UE 10�。
[0098]UE 10基于通過協(xié)商所獲得的信息來推導(dǎo)MeNB 20和SeNB 30所用的這兩個(gè)KUPenc(步驟S28)。
[0099]因而����,如圖7中的虛線所示,可以利用單獨(dú)的UP密鑰來保護(hù)UE 10與MeNB 20和SeNB30之間的U面業(yè)務(wù)���。
[0100](方案2)
[0101]圖8示出該方案中的密鑰層級(jí)��。圖示的密鑰層級(jí)與圖6所示的密鑰層級(jí)的不同之處在于:以與典型的切換過程相同的方式來根據(jù)KeNB-M推導(dǎo)KeNB**��,并且使用該KeNB**作為KeNB-S��。將該KeNB#從MeNB 20發(fā)送至SeNB 30����。
[0102]在操作中����,如圖9所示�����,MME40首先根據(jù)KASffi推導(dǎo)KeNB-M(步驟S31)�����,然后將所推導(dǎo)出的KeNB—M發(fā)送至MeNB 20 (步驟S32)��。
[0103]MeNB 20推導(dǎo)KUPenc����,并且如切換那樣��、根據(jù)所接收到的KeNB—μ來推導(dǎo)KeNB**(步驟S33)0
[0104]此外�,MeNB 20將所推導(dǎo)出的KeNB#發(fā)送至SeNB 30(步驟S34)�����。
[0105]SeNB 30使用KeNB**作為KeNB—s(步驟S35)��,然后根據(jù)KeNB—s推導(dǎo)自身的Kmw(步驟S36)0
[0106]與上述的步驟S33?S36并行地�,MeNB 20與UE 10進(jìn)行協(xié)商,使得UE 10可以推導(dǎo)MeNB 20和SeNB 30所用的這兩個(gè)Kupenc(步驟S37)�����。具體地,MeNB20將推導(dǎo)MeNB 20和SeNB 30所用的這兩個(gè)Kup.所需的信息(諸如一些參數(shù)和表示加密算法的指示符等)發(fā)送至UE 10��。
[0107]UE 10基于通過協(xié)商所獲得的信息來推導(dǎo)MeNB 20和SeNB 30所用的這兩個(gè)KUPenc(步驟S38)�����。
[0108]因而���,如圖9中的虛線所示��,可以與方案I相同�����、利用單獨(dú)的UP密鑰來保護(hù)UE10與MeNB 20和SeNB 30之間的U面業(yè)務(wù)�。
[0109]此外���,在該方案中�,KeNB-M可以是現(xiàn)有的KeNB�。因此,可以使在應(yīng)用該方案時(shí)對(duì)現(xiàn)有的MME的影響最小化��。
[0110]〈第三典型實(shí)施例:基于不同參數(shù)的新密鑰〉
[0111]在本典型實(shí)施例中,基于不同的參數(shù)來推導(dǎo)UP密鑰����。
[0112]具體地,如圖10所示�,MeNB 20將隨機(jī)值(隨機(jī)數(shù))發(fā)送至SeNB 30<^θΝΒ30通過使用從MeNB 20接收到的隨機(jī)值來推導(dǎo)自身的UP密鑰?���?梢栽趨f(xié)商時(shí)將用于推導(dǎo)SeNB 30所用的UP密鑰的參數(shù)等從MeNB 20發(fā)送至UE 10。
[0113]因而����,在本典型實(shí)施例中,與上述的第一典型實(shí)施例和第二典型實(shí)施例相同��,可以利用單獨(dú)的UP密鑰來保護(hù)UE 1與MeNB 2和SeNB 30之間的U面業(yè)務(wù)�����。
[0114]此外����,在本典型實(shí)施例中���,UP密鑰自身不是從MeNB 20發(fā)送至SeNB 30的����。因此,可以防止UP密鑰被惡意截獲����。
[0115]〈第四典型實(shí)施例〉
[0116]圖11示出本典型實(shí)施例中的密鑰層級(jí)。圖示的密鑰層級(jí)與圖8所示的密鑰層級(jí)的不同之處在于:作為KeNB**的替代����,根據(jù)KeNB-M推導(dǎo)Kxx,并且根據(jù)Kxx推導(dǎo)SeNB 30所用的KuPenc ο將Kxx從MeNB 20發(fā)送至SeNB 30����。
[0117]在操作中,盡管省略了圖不��,但MeNB 20推導(dǎo)自身的KuPenc����,并且根據(jù)KeNB-M推導(dǎo)Kxx。然后����,MeNB 20將所推導(dǎo)出的Kxx發(fā)送至SeNB 30�����。
[0118]SeNB 30根據(jù)Kxx推導(dǎo)自身的KUPenco
[0119]與這些處理并行地��,MeNB 20與UE 10進(jìn)行協(xié)商�����,使得UE 10可以推導(dǎo)MeNB 20和SeNB 30所用的這兩個(gè)Kupenc�。具體地���,MeNB 20將推導(dǎo)MeNB 20和SeNB 30所用的這兩個(gè)Kupenc所需的信息(諸如一些參數(shù)和表示加密算法的指示符等)發(fā)送至UE 10���。
[0120]UE 10基于通過協(xié)商所獲得的信息來推導(dǎo)MeNB 20和SeNB 30所用的這兩個(gè)KUPenc。
[0121]因而�����,與上述的第一典型實(shí)施例?第三典型實(shí)施例相同����,可以利用單獨(dú)的UP密鑰來保護(hù)UE 10與MeNB 20和SeNB 30之間的U面業(yè)務(wù)。此外���,在本典型實(shí)施例中���,KeNB—μ可以是現(xiàn)有的K.。因此���,可以使在應(yīng)用本典型實(shí)施例時(shí)對(duì)現(xiàn)有的MME的影響最小化���。
[0122]接著,將說明UE 10�����、MeNB 20^SeNB 30和MME 40的結(jié)構(gòu)示例���。
[0123]如圖12所示����,MeNB 20包括推導(dǎo)單元21和發(fā)送單元22�����。在圖4所示的操作中�����,推導(dǎo)單元21根據(jù)KeNB推導(dǎo)單獨(dú)的Kupenc和Kmw—s。發(fā)送單元22將Kmw—s發(fā)送至SeNB 30����。對(duì)于圖7所示的操作,MeNB 20還可以包括接收單元23�。接收單元23從MME 40接收單獨(dú)的KeNB—μ和KeNB—S。推導(dǎo)單元21根據(jù)KeNB—M推導(dǎo)KUPenc�。發(fā)送單元22將KeNB—S發(fā)送至SeNB 30。在圖9所示的操作中�,推導(dǎo)單元21根據(jù)KeNB—M推導(dǎo)Kmw和KeNB#。發(fā)送單元22將KeNB#發(fā)送至SeNB 30�����。在圖10所示的操作中����,推導(dǎo)單元21例如根據(jù)KeNB推導(dǎo)Kmw。發(fā)送單元22將隨機(jī)值發(fā)送至SeNB 30�����。此外,MeNB 20還可以包括協(xié)商單元24����,其中該協(xié)商單元24用于與UE 10進(jìn)行協(xié)商���。在上述的第四典型實(shí)施例所示的操作中����,推導(dǎo)單元21根據(jù)KeNB-M推導(dǎo)Kufw和Kxx���。發(fā)送單元22將Kxx發(fā)送至SeNB 30����。此外�,MeNB 20還可以包括管理單元25,其中該管理單元25用于對(duì)UP密鑰進(jìn)行管理��。注意�,這些單元21?25經(jīng)由總線等彼此相互連接。這些單元21?25例如可以由以下配置成:用于經(jīng)由Uu接口與UE 10進(jìn)行通信的收發(fā)器�����、用于經(jīng)由X2-C接口與SeNB 30進(jìn)行通信的收發(fā)器、用于經(jīng)由Sl-MME接口與MME 40進(jìn)行通信的收發(fā)器�����、以及用于控制這些收發(fā)器的諸如CPU(中央處理單元)等的控制器�。
[0124]如圖13所示,SeNB30至少包括接收單元31�����。在圖4所示的操作中�,接收單元31從MeNB 20接收Kupenc-S。對(duì)于圖7�、9和10所示的操作,SeNB 30還可以包括推導(dǎo)單元32�����。在圖7所示的操作中�����,接收單元31從MeNB 20接收KeNB—S��。推導(dǎo)單元32根據(jù)KeNB—s推導(dǎo)KUPenc����。在圖9所示的操作中�����,接收單元31從MeNB20接收K.**�����。推導(dǎo)單元32使用K.**作為KeNB—s,并且根據(jù)KeNB—s推導(dǎo)KUPenc�。在圖10所示的操作中,接收單元31從MeNB 20接收隨機(jī)值�����。推導(dǎo)單元32通過使用該隨機(jī)值來推導(dǎo)Κυρ.��。在上述的第四典型實(shí)施例所示的操作中�,接收單元31從MeNB 20接收Kxx。推導(dǎo)單元32根據(jù)Kxx推導(dǎo)Kupen�����。����。注意�,這些單元31和32經(jīng)由總線等彼此相互連接�。這些單元31和32例如由以下配置成:用于經(jīng)由X2-C接口與MeNB 20進(jìn)行通信的收發(fā)器、以及用于控制該收發(fā)器的諸如CHJ等的控制器�。
[0125]如圖14所示,MME 40包括推導(dǎo)單元41和發(fā)送單元42�����,以進(jìn)行圖7所示的操作�。推導(dǎo)單兀41根據(jù)Kasme推導(dǎo)KeNB-M和KeNB-S。發(fā)送單兀42將KeNB-M和KeNB-S發(fā)送至MeNB 20�����。注意��,這些單元41和42經(jīng)由總線等彼此相互連接���。這些單元41和42例如可以由以下配置成:用于經(jīng)由Sl-MME接口與MeNB 20進(jìn)行通信的收發(fā)器�、以及用于控制該收發(fā)器的諸如CPU等的控制器�。
[0126]如圖15所示,UE 10包括協(xié)商單元11和推導(dǎo)單元12����。協(xié)商單元11與MeNB20進(jìn)行協(xié)商�����。推導(dǎo)單元12基于通過協(xié)商所獲得的信息來推導(dǎo)單獨(dú)的UP密鑰�。此外����,UE 10可以包括管理單元13,其中該管理單元13用于對(duì)UP密鑰進(jìn)行管理�。注意,這些單元11?13經(jīng)由總線等彼此相互連接��。這些單元11?13例如可以由以下配置成:用于經(jīng)由Uu接口與MeNB 20進(jìn)行通信的收發(fā)器����、以及用于控制該收發(fā)器的諸如(PU等的控制器�。
[0127]基于以上說明,將向3GPP提出以下的兩個(gè)文獻(xiàn)����。
[0128]將如下所述提出這些文獻(xiàn)中的一個(gè)文獻(xiàn)。
[0129]1.引言
[0130]SA3從SA全體會(huì)議(SP-130720)接收到請(qǐng)求利用RAN(Rad1 Access Network����,無(wú)線接入網(wǎng)絡(luò))標(biāo)識(shí)的解決方案所暗示的潛在影響的概述的LS�。
[0131]在這一貢獻(xiàn)中���,研究針對(duì)用戶面架構(gòu)IA的安全影響并且提出針對(duì)SAP的應(yīng)答�����。
[0132]2.論述
[0133]在該部分中���,論述用戶面架構(gòu)IA的安全影響。
[0134]2.1用戶面架構(gòu)IA
[0135]用戶面承載在SeNB處直接終止���,并且將得到兩個(gè)獨(dú)立的PDCP實(shí)體�。圖16示出TR36.842中的方案1A���。這意味著應(yīng)在SeNB I3DCP處進(jìn)行在SeNB處終止的承載的加密�。針對(duì)方案IA的RRC在MeNB處���,因而密鑰管理也在MeNB處��。在SeNB處需要加密密鑰以進(jìn)行用戶面數(shù)據(jù)的加密和解密��。
[0136]解決方案方向
[0137]方案1:MeNB處的KeNB用于進(jìn)行SeNB加密密鑰推導(dǎo)�,并且經(jīng)由Xn接口進(jìn)行傳送。
[0138]Xn是MeNB和SeNB之間的接口�。Xn應(yīng)通過例如使用與SI和X2相同的安全解決方案來提供足夠的安全性。
[0139]影響:
[0140]l)MeNB應(yīng)推導(dǎo)UE和SeNB之間的用戶面加密所用的新密鑰����。該密鑰應(yīng)不同于KUPenc0
[0141]2)MeNB將該密鑰和加密所需的參數(shù)經(jīng)由X2接口發(fā)送至SeNB。
[0142]3)MeNB管理PDCP COUNT�。
[0143]4)UE應(yīng)推導(dǎo)與SeNB的用戶面加密所用的相同的密鑰。
[0144]5)針對(duì)密鑰層級(jí)的改變:應(yīng)向當(dāng)前的密鑰層級(jí)添加新密鑰����。
[0145]6)可以改變AS(Access Stratum,接入層)SMC(Security Mode Command�,安全模式命令)過程。
[0146]方案2: UE和MeNB使用切換過程來計(jì)算SeNB所用的KeNB*�����。
[0147]UE和MeNB基于KeNB*生成過程來生成SeNB所用的KeNB*(或者KeNB**���,以使該KeNB**與切換情況區(qū)分開)。一旦MeNB確定了雙連接����、并且在向UE通知了雙連接的情況下該UE進(jìn)行雙連接�,MeNB就生成KeNB*;經(jīng)由Xn信令來通知SeNB�����。在MeNB處�����,仍必須利用AS密鑰對(duì)RRC消息(例如�����,RRC Reconf ig完成)進(jìn)行加密���,這是因?yàn)镽RC在MeNB中終止�����。該方案可以從管理切換和雙連接所用的不同組的密鑰方面添加密鑰管理相關(guān)復(fù)雜度����。
[0148]影響:
[0149]l)MeNB使用K*eNB生成過程來推導(dǎo)要用作SeNB處的KSeNB的K*eNB。
[0150]2 )MeNB 將 K*eNB 經(jīng)由 X2 接口 發(fā)送至 SeNB���。
[0151]3)SeNB根據(jù)KSeNB推導(dǎo)用戶面數(shù)據(jù)加密所用的加密密鑰��。
[0152]4)MeNB將該密鑰和加密所需的參數(shù)經(jīng)由X2接口發(fā)送至SeNB�。
[0153]5)MeNB管理PDCP COUNT�。
[0154]6)UE應(yīng)推導(dǎo)與SeNB的用戶面加密所用的相同的K*eNB和加密密鑰。
[0155]7 )MeNB和UE這兩者都應(yīng)保持KeNB并且對(duì)KSeNB進(jìn)行密鑰管理��。
[0156]8)針對(duì)密鑰層級(jí)的改變:應(yīng)向當(dāng)前的密鑰層級(jí)添加新密鑰����。
[0157]方案3:運(yùn)行SeNB所用的新的AKA過程。
[0158]MME和UE必須維持兩個(gè)主動(dòng)安全上下文��,并且切換信令也將變得復(fù)雜��。在SMC過程中還將需要修改����。AKA(Authenticat1n and Key Agreement,鑒權(quán)與密鑰協(xié)商)過程在UE實(shí)現(xiàn)時(shí)的附加信令負(fù)載和復(fù)雜度方面是昂貴的�。
[0159]影響:
[0160]I )MME和UE應(yīng)推導(dǎo)并管理MeNB和SeNB所用的兩個(gè)KeNB��。
[0161]2 )MME 將 KSeNB 經(jīng)由 MeNB 發(fā)送至 SeNB���。
[0162]3) SeNB應(yīng)根據(jù)KSeNB推導(dǎo)用戶面加密所用的加密密鑰���。
[0163]4)MeNB將該密鑰和加密所需的參數(shù)經(jīng)由X2接口發(fā)送至SeNB����。
[0164]5)MeNB管理PDCP COUNT�。
[0165]6) UE應(yīng)推導(dǎo)與SeNB的用戶面加密所用的相同的密鑰。
[0166]7)針對(duì)密鑰層級(jí)的改變:應(yīng)向當(dāng)前的密鑰層級(jí)添加新密鑰�。
[0167]8)可以改變NAS(Non_Access Stratum,非接入層)和AS SMC過程��。
[0168]其它問題
[0169 ]針對(duì)所有方案要研究的其它問題是安全性能���、切換和動(dòng)態(tài)的密鑰改變的處理����。
[0170]由于操作員可以確保部署����,因此假定MeNB和SeNB具有相同的安全性能將是安全的。然而����,如果支持不同的性能�����,則必須通知UE以根據(jù)各個(gè)節(jié)點(diǎn)中的所支持的算法來推導(dǎo)密鑰�����。
[0171]基于以上��,顯而易見�����,為了保護(hù)UE和SeNB之間的用戶面機(jī)密性保護(hù)�����,對(duì)當(dāng)前密鑰層級(jí)�����、MeNB和SeNB���、UE以及/或者M(jìn)ME產(chǎn)生了影響�����。
[0172]結(jié)論1:對(duì)當(dāng)前密鑰層級(jí)、UE以及密鑰管理所用的網(wǎng)絡(luò)節(jié)點(diǎn)(eNB和/SMME)產(chǎn)生了影響�����。
[0173]3.提議
[0174]針對(duì)SA3提出以下:
[0175]按照結(jié)論I回復(fù)SA���。在S3-131XXX中提供按照以上的針對(duì)SA的草案LS應(yīng)答���。
[0176]結(jié)論1:對(duì)當(dāng)前密鑰層級(jí)、UE以及密鑰管理所用的網(wǎng)絡(luò)節(jié)點(diǎn)(eNB和/SMME)產(chǎn)生了影響�。
[0177]4.參考文獻(xiàn)
[0178]1.針對(duì)以下的SP-130720應(yīng)答:與RAN中的小小區(qū)增強(qiáng)作業(yè)有關(guān)的LS
[0179]將如下所述提出這些文獻(xiàn)中的另一文獻(xiàn)。
[0180]1.整體描述:
[0181]SA3論述了針對(duì)用戶面架構(gòu)IA的安全影響并且得出以下結(jié)論��。
[0182]用戶面架構(gòu)1A:
[0183]SA3論述了用以解決具有獨(dú)立的I3DCP的SeNB中的安全上下文處理的若干解決方案以及用以生成SeNB所用的加密密鑰的方法�。在該階段,SA3認(rèn)為將對(duì)當(dāng)前密鑰層級(jí)���、UE和網(wǎng)絡(luò)實(shí)體(eNB和/或MME)產(chǎn)生影響����。
[0184]-針對(duì)密鑰層級(jí)的影響
[0185]-應(yīng)向當(dāng)前的密鑰層級(jí)添加新密鑰
[0186]-針對(duì)SMC過程的影響
[0187]-將對(duì)ASSMC過程產(chǎn)生影響
[0188]-可能會(huì)對(duì)NASSMC過程產(chǎn)生影響
[0189]-針對(duì)MeNB的影響:
[0190]-MeNB推導(dǎo)所需密鑰并將該所需密鑰發(fā)送至SeNB
[0191 ]-由于RRC在MeNB處終止,因此MeNB進(jìn)行密鑰管理并維持PDCP COUNT
[0192]-MeNB將用戶數(shù)據(jù)加密所用的參數(shù)提供至SeNB
[0193]-MeNB根據(jù)動(dòng)態(tài)的密鑰變化����、切換、RRC連接失敗來管理任何變化����。
[0194]-針對(duì)SeNB的影響
[0195]-SeNB可能需要推導(dǎo)加密密鑰
[0196]-SeNB可能需要將算法信息提供至MeNB
[0197]-針對(duì)UE的影響
[0198]-UE應(yīng)對(duì)密鑰進(jìn)行密鑰管理
[0199]注意,本發(fā)明不限于上述典型實(shí)施例�����,并且顯而易見���,本領(lǐng)域普通技術(shù)人員可以基于權(quán)利要求書的陳述來進(jìn)行各種修改���。
[0200]以上所公開的典型實(shí)施例的全部或一部分可被描述為、但不限于以下的補(bǔ)充說明����。
[0201](補(bǔ)充說明I)
[0202]一種無(wú)線基站,包括:
[0203]推導(dǎo)部件����,用于根據(jù)第二密鑰推導(dǎo)第一密鑰�,所述第一密鑰用于機(jī)密地保護(hù)不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE(用戶設(shè)備)之間的經(jīng)由U面(用戶面)所傳輸?shù)臉I(yè)務(wù)�����,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?��,所述第二密鑰在所述無(wú)線基站和所述UE之間共用;以及
[0204]發(fā)送部件�����,用于將所述第一密鑰發(fā)送至所述不同的無(wú)線基站�。
[0205](補(bǔ)充說明2)
[0206]根據(jù)補(bǔ)充說明I所述的無(wú)線基站,其中��,
[0207]所述第二密鑰包括標(biāo)準(zhǔn)化后的KeNB����,以及
[0208]所述推導(dǎo)部件被配置為:
[0209]根據(jù)所述KeNB推導(dǎo)標(biāo)準(zhǔn)化后的KuPenc;以及
[0210]推導(dǎo)與所述KUP.不同的密鑰作為所述第一密鑰。
[0211](補(bǔ)充說明3)
[0212]根據(jù)補(bǔ)充說明I所述的無(wú)線基站���,其中����,
[0213]所述第二密鑰包括標(biāo)準(zhǔn)化后的KeNB,以及
[0214]所述推導(dǎo)部件被配置為:
[0215]根據(jù)所述KeNB推導(dǎo)標(biāo)準(zhǔn)化后的KuPenc;以及
[0216]根據(jù)所述KUPenc來推導(dǎo)所述第一密鑰和第三密鑰以使其彼此不同�,所述第三密鑰用于保護(hù)所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)。
[0217](補(bǔ)充說明4)
[0218]根據(jù)補(bǔ)充說明I至3中任一項(xiàng)所述的無(wú)線基站��,其中��,還包括:
[0219]協(xié)商部件�����,用于與所述UE進(jìn)行協(xié)商��,以使得所述UE能夠推導(dǎo)所述第一密鑰���。
[0220](補(bǔ)充說明5)
[0221]根據(jù)補(bǔ)充說明I至4中任一項(xiàng)所述的無(wú)線基站�,其中����,還包括:
[0222]管理部件,用于對(duì)所述第一密鑰進(jìn)行管理����。
[0223](補(bǔ)充說明6)
[0224]一種無(wú)線基站,包括:
[0225]接收部件�����,用于從核心網(wǎng)接收第一密鑰;以及
[0226]發(fā)送部件�����,用于將所述第一密鑰發(fā)送至不同的無(wú)線基站����,以供所述不同的無(wú)線基站推導(dǎo)第二密鑰�,所述第二密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù),其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0227](補(bǔ)充說明7)
[0228]根據(jù)補(bǔ)充說明6所述的無(wú)線基站�,其中,所述第一密鑰包括與分配至所述無(wú)線基站的KeNB不同的KeNB�����。
[0229](補(bǔ)充說明8)
[0230]根據(jù)補(bǔ)充說明6或7所述的無(wú)線基站��,其中�,還包括:
[0231 ]協(xié)商部件,用于與所述UE進(jìn)行協(xié)商�,以使得所述UE能夠推導(dǎo)所述第二密鑰。
[0232](補(bǔ)充說明9)
[0233]根據(jù)補(bǔ)充說明6至8中任一項(xiàng)所述的無(wú)線基站��,其中,還包括:
[0234]管理部件��,用于對(duì)所述第二密鑰進(jìn)行管理�����。
[0235](補(bǔ)充說明10)
[0236]一種無(wú)線基站��,包括:
[0237]推導(dǎo)部件�,用于以與切換過程相同的方式來根據(jù)第二密鑰推導(dǎo)第一密鑰,所述第一密鑰用于不同的無(wú)線基站以推導(dǎo)第三密鑰�����,所述第三密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)����,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)模龅诙荑€在所述無(wú)線基站和所述UE之間共享���;以及
[0238]發(fā)送部件���,用于將所述第一密鑰發(fā)送至所述不同的無(wú)線基站。
[0239](補(bǔ)充說明11)
[0240]根據(jù)補(bǔ)充說明10所述的無(wú)線基站,其中����,還包括:
[0241 ]協(xié)商部件,用于與所述UE進(jìn)行協(xié)商��,以使得所述UE能夠推導(dǎo)所述第三密鑰�����。
[0242](補(bǔ)充說明I2)
[0243]根據(jù)補(bǔ)充說明10或11所述的無(wú)線基站���,其中�����,還包括:
[0244]管理部件,用于對(duì)所述第三密鑰進(jìn)行管理����。
[0245](補(bǔ)充說明I3)
[0246]一種無(wú)線基站,包括:
[0247]發(fā)送部件�,用于將隨機(jī)值發(fā)送至不同的無(wú)線基站,以供所述不同的無(wú)線基站推導(dǎo)密鑰��,所述密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù),其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0248](補(bǔ)充說明14)
[0249]根據(jù)補(bǔ)充說明13所述的無(wú)線基站����,其中,還包括:
[0250]協(xié)商部件���,用于與所述UE進(jìn)行協(xié)商�����,以使得所述UE能夠推導(dǎo)所述密鑰����。
[0251](補(bǔ)充說明15)
[0252]根據(jù)補(bǔ)充說明13或14所述的無(wú)線基站�����,其中�,還包括:
[0253]管理部件,用于對(duì)所述密鑰進(jìn)行管理��。
[0254](補(bǔ)充說明16)
[0255]一種無(wú)線基站�����,包括:
[0256]推導(dǎo)部件,用于根據(jù)第二密鑰推導(dǎo)第一密鑰�����,所述第一密鑰用于不同的無(wú)線基站以推導(dǎo)第三密鑰�����,所述第三密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)��,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?,所述第二密鑰在所述無(wú)線基站和所述UE之間共享;以及
[0257]發(fā)送部件���,用于將所述第一密鑰發(fā)送至所述不同的無(wú)線基站�。
[0258](補(bǔ)充說明17)
[0259]根據(jù)補(bǔ)充說明16所述的無(wú)線基站�����,其中��,還包括:
[0260]協(xié)商部件�,用于與所述UE進(jìn)行協(xié)商��,以使得所述UE能夠推導(dǎo)所述第三密鑰。
[0261](補(bǔ)充說明18)
[0262]根據(jù)補(bǔ)充說明16或17所述的無(wú)線基站�,其中,還包括:
[0263]管理部件�����,用于對(duì)所述第三密鑰進(jìn)行管理�。
[0264](補(bǔ)充說明19)
[0265]一種無(wú)線基站,包括:
[0266]接收部件�,用于從UE無(wú)線連接至的不同的無(wú)線基站接收用于機(jī)密地保護(hù)所述UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)的密鑰,其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)?��,該密鑰不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰���。
[0267](補(bǔ)充說明2O)
[0268]一種無(wú)線基站,包括:
[0269]接收部件�,用于從UE無(wú)線連接至的不同的無(wú)線基站接收第一密鑰;以及
[0270]推導(dǎo)部件�����,用于根據(jù)所述第一密鑰推導(dǎo)第二密鑰�,所述第二密鑰用于機(jī)密地保護(hù)所述UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù),其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)?,所述第二密鑰不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰��。
[0271](補(bǔ)充說明21)
[0272]一種無(wú)線基站��,包括:
[0273]接收部件����,用于從UE無(wú)線連接至的不同的無(wú)線基站接收隨機(jī)值;以及
[0274]推導(dǎo)部件����,用于通過使用所述隨機(jī)值來推導(dǎo)用于機(jī)密地保護(hù)所述UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)的密鑰,其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)?�,該密鑰不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰��。
[0275](補(bǔ)充說明22)
[0276]—種節(jié)點(diǎn)�����,其配置在核心網(wǎng)內(nèi)�����,所述節(jié)點(diǎn)包括:
[0277]推導(dǎo)部件����,用于推導(dǎo)密鑰;以及
[0278]發(fā)送部件��,用于將所述密鑰發(fā)送至UE無(wú)線連接至的無(wú)線基站�����,
[0279]其中���,所述密鑰用于不同的無(wú)線基站以推導(dǎo)密鑰��,所述密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)�,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0280](補(bǔ)充說明23)
[0281]一種 UE�,包括:
[0282]協(xié)商部件,用于與所述UE無(wú)線連接至的無(wú)線基站進(jìn)行協(xié)商��;以及
[0283]推導(dǎo)部件�,用于基于所述協(xié)商的結(jié)果來推導(dǎo)密鑰,所述密鑰用于機(jī)密地保護(hù)不同的無(wú)線基站和所述UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)�,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0284](補(bǔ)充說明24)
[0285]根據(jù)補(bǔ)充說明23所述的UE,其中�,還包括:
[0286]管理部件,用于對(duì)所述密鑰進(jìn)行管理����。
[0287](補(bǔ)充說明25)
[0288]—種通信系統(tǒng)���,包括:
[0289]UE;
[0290]所述UE無(wú)線連接至的第一無(wú)線基站��;以及
[0291]第二無(wú)線基站�,
[0292]其中,所述第一無(wú)線基站被配置為:
[0293]根據(jù)第二密鑰推導(dǎo)第一密鑰�����,所述第一密鑰用于機(jī)密地保護(hù)所述第二無(wú)線基站和所述UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)��,該業(yè)務(wù)是與所述第一無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?,所述第二密鑰在所述第一無(wú)線基站和所述UE之間共享;以及
[0294]將所述第一密鑰發(fā)送至所述第二無(wú)線基站��,
[0295]所述第二無(wú)線基站被配置為從所述第一無(wú)線基站接收所述第一密鑰�����,以及
[0296]所述UE被配置為:
[0297]與所述第一無(wú)線基站進(jìn)行協(xié)商����;以及
[0298]基于所述協(xié)商的結(jié)果來推導(dǎo)所述第一密鑰。
[0299](補(bǔ)充說明%)
[0300]一種通彳目系統(tǒng)���,包括:
[0301]UE��;
[°3°2]所述UE無(wú)線連接至的第一無(wú)線基站�����;
[0303]第二無(wú)線基站�����;以及節(jié)點(diǎn)���,其配置在核心網(wǎng)內(nèi),
[0304]其中���,所述節(jié)點(diǎn)被配置為:
[0305]推導(dǎo)第一密鑰���;以及
[0306]將所述第一密鑰發(fā)送至所述第一無(wú)線基站,
[0307]所述第一無(wú)線基站被配置為:
[0308]從所述節(jié)點(diǎn)接收所述第一密鑰�;以及
[0309]將所述第一密鑰發(fā)送至所述第二無(wú)線基站,
[0310]所述第二無(wú)線基站被配置為:
[0311 ]從所述第一無(wú)線基站接收所述第一密鑰���;以及
[0312]根據(jù)所述第一密鑰來推導(dǎo)第二密鑰���,所述第二密鑰用于機(jī)密地保護(hù)所述UE和所述第二無(wú)線基站之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)��,其中該業(yè)務(wù)是與所述UE和所述第一無(wú)線基站之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?,以?br>[0313]所述UE被配置為:
[0314]與所述第一無(wú)線基站進(jìn)行協(xié)商����;以及
[0315]基于所述協(xié)商的結(jié)果來推導(dǎo)所述第二密鑰。
[0316](補(bǔ)充說明27)
[0317]—種通信系統(tǒng)����,包括:
[0318]UE;
[0319]所述UE無(wú)線連接至的第一無(wú)線基站�;以及
[0320]第二無(wú)線基站,
[0321 ]其中����,所述第一無(wú)線基站被配置為:
[0322]根據(jù)第二密鑰推導(dǎo)第一密鑰,所述第一密鑰用于不同的所述第二無(wú)線基站以推導(dǎo)第三密鑰��,其中所述第三密鑰用于機(jī)密地保護(hù)所述UE和所述第二無(wú)線基站之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)��,該業(yè)務(wù)是與所述UE和所述第一無(wú)線基站之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?��,所述第二密鑰在所述第一無(wú)線基站和所述UE之間共享;以及
[0323]將所述第一密鑰發(fā)送至所述第二無(wú)線基站����,
[0324]所述第二無(wú)線基站被配置為:
[0325]從所述第一無(wú)線基站接收所述第一密鑰;以及
[0326]通過使用所述第一密鑰來推導(dǎo)所述第三密鑰���,以及
[0327]所述UE被配置為:
[0328]與所述第一無(wú)線基站進(jìn)行協(xié)商;以及
[0329]基于所述協(xié)商的結(jié)果來推導(dǎo)所述第三密鑰����。
[0330](補(bǔ)充說明28)
[0331]—種通信系統(tǒng),包括:
[0332]UE���;
[0333]所述UE無(wú)線連接至的第一無(wú)線基站��;以及
[0334]第二無(wú)線基站���,
[0335]其中,所述第一無(wú)線基站被配置為將隨機(jī)值發(fā)送至所述第二無(wú)線基站��,
[0336]所述第二無(wú)線基站被配置為:
[0337]從所述第一無(wú)線基站接收所述隨機(jī)值;以及
[0338]通過使用所述隨機(jī)值來推導(dǎo)密鑰����,所述密鑰用于機(jī)密地保護(hù)所述UE和所述第二無(wú)線基站之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù),該業(yè)務(wù)是與所述UE和所述第一無(wú)線基站之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)模约?br>[0339]所述UE被配置為:
[0340]與所述第一無(wú)線基站進(jìn)行協(xié)商��;以及
[0341]基于所述協(xié)商的結(jié)果來推導(dǎo)所述密鑰�。
[0342](補(bǔ)充說明29)
[0343 ] 一種控制無(wú)線基站中的操作的方法,所述方法包括以下步驟:
[0344]根據(jù)第二密鑰推導(dǎo)第一密鑰�����,所述第一密鑰用于機(jī)密地保護(hù)不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)�,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)模龅诙荑€在所述無(wú)線基站和所述UE之間共享��;以及
[0345]將所述第一密鑰發(fā)送至所述不同的無(wú)線基站�。
[0346](補(bǔ)充說明3O)
[0347 ] 一種控制無(wú)線基站中的操作的方法,所述方法包括以下步驟:
[0348]從核心網(wǎng)接收第一密鑰�;以及
[0349]將所述第一密鑰發(fā)送至不同的無(wú)線基站,以供所述不同的無(wú)線基站推導(dǎo)第二密鑰����,所述第二密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù),其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0350](補(bǔ)充說明31)
[0351 ] 一種控制無(wú)線基站中的操作的方法��,所述方法包括以下步驟:
[0352]以與切換過程相同的方式���,根據(jù)第二密鑰推導(dǎo)第一密鑰���,所述第一密鑰用于不同的無(wú)線基站以推導(dǎo)第三密鑰��,所述第三密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)�����,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?����,所述第二密鑰在所述無(wú)線基站和所述UE之間共享;以及
[0353]將所述第一密鑰發(fā)送至所述不同的無(wú)線基站���。
[0354](補(bǔ)充說明32)
[0355]—種控制無(wú)線基站中的操作的方法����,所述方法包括以下步驟:
[0356]將隨機(jī)值發(fā)送至不同的無(wú)線基站�����,以供所述不同的無(wú)線基站推導(dǎo)密鑰�����,所述密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù),其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0357](補(bǔ)充說明33)
[0358]—種控制無(wú)線基站中的操作的方法���,所述方法包括以下步驟:
[0359]根據(jù)第二密鑰推導(dǎo)第一密鑰��,所述第一密鑰用于不同的無(wú)線基站以推導(dǎo)第三密鑰��,所述第三密鑰用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)�����,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)?����,所述第二密鑰在所述無(wú)線基站和所述UE之間共享��;以及
[0360]將所述第一密鑰發(fā)送至所述不同的無(wú)線基站�。
[0361](補(bǔ)充說明:34)
[0362 ] 一種控制無(wú)線基站中的操作的方法����,所述方法包括以下步驟:
[0363]從UE無(wú)線連接至的不同的無(wú)線基站接收用于機(jī)密地保護(hù)所述UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)的密鑰,其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)?,該密鑰不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰。
[0364](補(bǔ)充說明35)
[0365]—種控制無(wú)線基站中的操作的方法�,所述方法包括以下步驟:
[0366]從UE無(wú)線連接至的不同的無(wú)線基站接收第一密鑰�;以及
[0367]根據(jù)所述第一密鑰推導(dǎo)第二密鑰��,所述第二密鑰用于機(jī)密地保護(hù)所述UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)���,其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)?,所述第二密鑰不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰����。
[0368](補(bǔ)充說明36)
[0369 ] 一種控制無(wú)線基站中的操作的方法,所述方法包括以下步驟:
[0370]從UE無(wú)線連接至的不同的無(wú)線基站接收隨機(jī)值���;以及
[0371]通過使用所述隨機(jī)值來推導(dǎo)用于機(jī)密地保護(hù)所述UE和所述無(wú)線基站之間的經(jīng)由U面所傳輸?shù)牡谝粯I(yè)務(wù)的密鑰�,其中所述第一業(yè)務(wù)是與所述不同的無(wú)線基站和所述UE之間的經(jīng)由所述U面的第二業(yè)務(wù)并行地進(jìn)行傳輸?shù)?�,該密鑰不同于用于機(jī)密地保護(hù)所述第二業(yè)務(wù)的密鑰�����。
[0372](補(bǔ)充說明37)
[0373]—種控制節(jié)點(diǎn)中的操作的方法���,所述節(jié)點(diǎn)配置在核心網(wǎng)內(nèi),所述方法包括以下步驟:
[0374]推導(dǎo)密鑰�����;以及
[0375]將所述密鑰發(fā)送至UE無(wú)線連接至的無(wú)線基站,
[0376]其中����,所述密鑰用于不同的無(wú)線基站,以推導(dǎo)用于機(jī)密地保護(hù)所述不同的無(wú)線基站和無(wú)線連接至所述無(wú)線基站的UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)的密鑰�����,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0377](補(bǔ)充說明38)
[0378]一種控制UE中的操作的方法�,所述方法包括以下步驟:
[0379]與所述UE無(wú)線連接至的無(wú)線基站進(jìn)行協(xié)商;以及
[0380]基于所述協(xié)商的結(jié)果來推導(dǎo)用于機(jī)密地保護(hù)不同的無(wú)線基站和所述UE之間的經(jīng)由U面所傳輸?shù)臉I(yè)務(wù)的密鑰�,其中該業(yè)務(wù)是與所述無(wú)線基站和所述UE之間的經(jīng)由所述U面的業(yè)務(wù)并行地進(jìn)行傳輸?shù)摹?br>[0381]本申請(qǐng)基于并要求2013年12月24日提交的日本專利申請(qǐng)2013-265273的優(yōu)先權(quán),在此通過弓I用包含其全部?jī)?nèi)容�����。
[0382]附圖標(biāo)記列表
[0383]10 UE
[0384]11,24協(xié)商單元
[0385]12,21,32,41 推導(dǎo)單元
[0386]13,25管理單元
[0387]20 MeNB
[0388]22,42發(fā)送單元
[0389]23,31接收單元
[0390]30 SeNB
[0391]40 MME
[0392]50 SGff
【主權(quán)項(xiàng)】
1.一種保護(hù)移動(dòng)通信系統(tǒng)中的通信的方法�,所述移動(dòng)通信系統(tǒng)包括用戶設(shè)備即UE和多個(gè)基站,其中所述UE能夠連接至所述多個(gè)基站以進(jìn)行雙連接����,所述方法包括以下步驟: 利用第一基站,根據(jù)第一密鑰來推導(dǎo)第二密鑰�����; 利用所述第一基站,將所述第二密鑰發(fā)送至第二基站����; 利用所述第二基站,根據(jù)所述第二密鑰來推導(dǎo)第三密鑰�; 利用所述第一基站,將與第四密鑰有關(guān)的信息或參數(shù)發(fā)送至所述UE;以及 利用所述UE�,推導(dǎo)用戶面的加密所用的所述第四密鑰, 其中����,所述第三密鑰和所述第四密鑰是相同的密鑰,并且使用所述相同的密鑰來對(duì)所述第二基站和所述UE之間的通信進(jìn)行加密��。2.根據(jù)權(quán)利要求1所述的方法����,其中��,還包括以下步驟: 利用所述UE����,根據(jù)相同的所述第一密鑰來推導(dǎo)相同的所述第二密鑰����;以及 利用所述UE�����,根據(jù)相同的所述第二密鑰來推導(dǎo)所述第四密鑰�����。3.根據(jù)權(quán)利要求1或2所述的方法�,其中,移動(dòng)性管理裝置根據(jù)基礎(chǔ)密鑰來推導(dǎo)所述第一密鑰�����,并且將所述第一密鑰發(fā)送至所述第一基站��。4.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法���,其中����,所述第三密鑰和所述第四密鑰包括KlfPenc ο5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法��,其中,所述第一基站包括主演進(jìn)型節(jié)點(diǎn)BSPMeNB�����,并且所述第二基站包括次演進(jìn)型節(jié)點(diǎn)BS卩SeNB��。6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的方法��,其中�,所述第一密鑰包括K.。7.根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的方法����,其中,還包括以下步驟: 利用所述第一基站來對(duì)所述第二密鑰進(jìn)行管理���。8.根據(jù)權(quán)利要求1至7中任一項(xiàng)所述的方法�����,其中��,還包括以下步驟: 利用所述UE來對(duì)所述第四密鑰進(jìn)行管理��。9.根據(jù)權(quán)利要求7或8所述的方法����,其中����,所述管理包括以下操作至少之一:更新所述第二密鑰或所述第四密鑰;以及刪除所述第二密鑰或所述第四密鑰���。10.—種移動(dòng)通信系統(tǒng)��,包括: 第一基站����; 第二基站�����;以及 用戶設(shè)備即UE�,其能夠連接至所述第一基站和所述第二基站以進(jìn)行雙連接, 其中���,所述第一基站根據(jù)第一密鑰來推導(dǎo)第二密鑰�,并且將所述第二密鑰發(fā)送至所述第二基站, 所述第二基站根據(jù)所述第二密鑰來推導(dǎo)第三密鑰����, 所述第一基站將與第四密鑰有關(guān)的信息或參數(shù)發(fā)送至所述UE, 所述UE推導(dǎo)用戶面的加密所用的所述第四密鑰����,以及 所述第三密鑰和所述第四密鑰是相同的密鑰,并且使用所述相同的密鑰來對(duì)所述第二基站和所述UE之間的通信進(jìn)行加密�����。11.根據(jù)權(quán)利要求10所述的移動(dòng)通信系統(tǒng)��,其中�,所述UE根據(jù)相同的所述第一密鑰來推導(dǎo)相同的所述第二密鑰,并且根據(jù)相同的所述第二密鑰來推導(dǎo)所述第四密鑰�。12.根據(jù)權(quán)利要求10或11所述的移動(dòng)通信系統(tǒng),其中�����,還包括移動(dòng)性管理裝置�,所述移動(dòng)性管理裝置用于根據(jù)基礎(chǔ)密鑰來推導(dǎo)所述第一密鑰,并且將所述第一密鑰發(fā)送至所述第一基站O13.根據(jù)權(quán)利要求10至12中任一項(xiàng)所述的移動(dòng)通信系統(tǒng)�,其中�,所述第三密鑰和所述第四密鑰包括KUP.����。14.根據(jù)權(quán)利要求10至13中任一項(xiàng)所述的移動(dòng)通信系統(tǒng)�����,其中����,所述第一基站包括主演進(jìn)型節(jié)點(diǎn)BS卩MeNB,并且所述第二基站包括次演進(jìn)型節(jié)點(diǎn)BS卩SeNB�。15.根據(jù)權(quán)利要求10至14中任一項(xiàng)所述的移動(dòng)通信系統(tǒng),其中�,所述第一密鑰包括KeNB。16.根據(jù)權(quán)利要求10至15中任一項(xiàng)所述的移動(dòng)通信系統(tǒng)�,其中,所述第一基站對(duì)所述第二密鑰進(jìn)行管理���。17.根據(jù)權(quán)利要求10至16中任一項(xiàng)所述的方法����,其中�,所述UE對(duì)所述第四密鑰進(jìn)行管理��。18.根據(jù)權(quán)利要求16或17所述的移動(dòng)通信系統(tǒng)��,其中��,所述管理包括以下操作至少之一:更新所述第二密鑰或所述第四密鑰���;以及刪除所述第二密鑰或所述第四密鑰。19.一種基站����,用于在移動(dòng)通信系統(tǒng)中進(jìn)行雙連接,所述基站包括: 第一單元����,用于連接用戶設(shè)備即UE;以及 第二單元,用于根據(jù)從不同基站所接收到的不同密鑰來推導(dǎo)密鑰����, 其中,所推導(dǎo)出的密鑰與所述UE所推導(dǎo)出的密鑰相同�����,并且用于對(duì)與所述UE的通信進(jìn)行加密���。20.根據(jù)權(quán)利要求19所述的基站���,其中���,所推導(dǎo)出的密鑰包括ΚυΡ.。21.根據(jù)權(quán)利要求19或20所述的基站���,其中,所述基站包括次演進(jìn)型節(jié)點(diǎn)BS卩SeNB�。22.—種移動(dòng)通信系統(tǒng)中所使用的用戶設(shè)備即UE,所述UE包括: 第一單元�����,用于連接至第一基站和第二基站以進(jìn)行雙連接��;以及 第二單元�����,用于推導(dǎo)密鑰�, 其中,所述第一單元從所述第一基站接收與加密密鑰有關(guān)的信息或參數(shù)�����, 所述第二單元推導(dǎo)所述加密密鑰,以及 所述加密密鑰與所述第二基站所推導(dǎo)出的密鑰相同�����,并且用于對(duì)與所述第二基站的通信進(jìn)行加密��。23.根據(jù)權(quán)利要求22所述的UE����,其中,所述UE根據(jù)第一密鑰來推導(dǎo)第二密鑰��,并且根據(jù)所述第二密鑰來推導(dǎo)所述加密密鑰�����。24.根據(jù)權(quán)利要求22或23所述的UE�����,其中���,所述加密密鑰包括KUPenc����。25.根據(jù)權(quán)利要求22至24中任一項(xiàng)所述的UE,其中���,所述第一基站包括主演進(jìn)型節(jié)點(diǎn)B即MeNB����,并且所述第二基站包括次演進(jìn)型節(jié)點(diǎn)BS卩SeNB�。26.根據(jù)權(quán)利要求22至25中任一項(xiàng)所述的UE,其中��,還包括: 第三單元��,用于對(duì)所述加密密鑰進(jìn)行管理���。27.根據(jù)權(quán)利要求26所述的UE,其中��,所述管理包括以下操作至少之一:更新所述加密密鑰�����;以及刪除所述加密密鑰�。
【文檔編號(hào)】H04W12/04GK105850167SQ201480071074
【公開日】2016年8月10日
【申請(qǐng)日】2014年11月20日
【發(fā)明人】張曉維, 阿南德·羅迦沃·普拉薩德
【申請(qǐng)人】日本電氣株式會(huì)社