一种下一跳链计数器更新方法、装置及设备与流程

文档序号:17817207发布日期:2019-06-05 21:53
一种下一跳链计数器更新方法、装置及设备与流程

本发明涉及无线通信技术领域,特别涉及一种下一跳链计数器更新方法、装置及设备。



背景技术:

图1为EPS密钥层次结构示意图,EPS(Evolved Packet System,演进分组系统)密钥层次如图所示为:

当安全上下文建立时,UE(User Equipment,用户设备)和MME(Mobility Management Entity,移动性管理实体)利用KASME(MME基本密钥)和KeNB(基站密钥)来推导NH(Next Hop下一跳);当安全上下文未建立时,UE和MME利用KASME和原NH来推导新NH。其中,UE和MME根据KASME推导得到KeNB,在UE进入ECM-CONNECTED(ECM连接;ECM:EPS Connection Management,EPS连接管理)状态(该状态为RRC(Radio Resource Control,无线资源控制)连接或S1上下文建立期间的状态)的过程中从EPC传送给eNB。NCC(Next hop Chaining Counter,下一跳链计数器)用于记录一共产生过多少NH,使UE与eNB同步,并决定下一个KeNB*的计算是需要基于当前KeNB还是新NH。

核心网通过对UE鉴权的同时会根据HSS(Home Subscriber Server,归属用户服务器)中存储的UE参数(CK、IK(Integrity Key,完整性密钥))及其它参数(服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK))信息生成MME基本密钥KASME。MME中生成的KASME只在本地MME维护不外传。基于KASME和Uplink NAS COUNT(上行NAS计数;NAS:Non Access Stratum,非接入层)生成KeNB,根据KASME及NAS密钥算法(含完整性及加密算法)生成NAS密钥KNASint(NAS完整性保护密钥)、KNASenc(NAS加密密钥)。核心网通过对UE鉴权后还会向UE发送UE NAS安全上下文相关的NAS SMC(security mode command,安全模式命令)信令,该信令包含MME传递给UE的NAS密钥生成算法及必要的参数(SQN、AK),从而生成和MME相同的KASME、KNASint、KNASenc密钥。

现有技术的不足在于:在LTE(Long Term Evolution,长期演进)中,当每次进行RRC连接恢复或重建时都可能更新UE的密钥,该方法的密钥更新过于频繁,有时没有必要。另一种方法是当发生PDCP(Packet Data Convergence Protocol,分组数据聚合协议)实体更改时才更新密钥,该方法虽然减少了密钥更新次数,但也增加了实现复杂度,且其对RRC连接恢复等相关过程的安全方面影响还有待讨论。



技术实现要素:

本发明提供了一种下一跳链计数器更新方法、装置及设备,用以减少下一代移动通信网络中的终端密钥更新时的频度。

本发明实施例中提供了一种下一跳链计数器更新方法,包括:

为进入INACTIVE状态后的UE设定安全更新定时器和/或计数器;

根据PDCP实体是否发生变化,以及所述安全更新定时器是否超时和/或所述计数器是否达到其阈值来确定是否更新UE的NCC。

较佳地,进一步包括:

在所述安全更新定时器超时和/或所述计数器达到其阈值时,根据UE的状态按预设策略更新UE的NCC。

较佳地,进一步包括:

若设定的是定时器,当UE初次驻留到一个新基站,且PDCP实体发生改变时,重新启动该定时器;或,

若设定的是定时器,该定时器超时后,重新启动该定时器;或,

若设定的是计数器,当UE初次驻留到一个新基站,且PDCP实体发生改变时,重新启动该计数器;或,

若设定的是计数器,该计数器达到其阈值后,重新启动该定时器。

较佳地,进一步包括:

当发生一次PDCP实体未变的RRC连接恢复过程、或RRC重建过程后,将该计数器的数值加1。

较佳地,判断PDCP实体是否发生变化是在当基站收到INACTIVE UE发送的连接恢复请求消息时,根据基站是否存有该UE的上下文,来判断该UE的PDCP实体是否发生变化的。

较佳地,根据PDCP实体是否发生变化,以及所述安全更新定时器是否超时和/或所述计数器是否达到其阈值来确定是否更新UE的NCC,包括:

若PDCP实体发生变化,则更新UE的NCC;或,

若PDCP实体未发生变化,且仅采用定时器,则当定时器超时后更新UE的NCC;或,

若PDCP实体未发生变化,且仅采用计数器,则当计数器达到其阈值后更新UE的NCC;或,

若PDCP实体未发生变化,且同时采用定时器和计数器,则当定时器超时或计数器达到其阈值后更新UE的NCC;或,

若PDCP实体未发生变化,且同时采用定时器和计数器,则当定时器超时且计数器达到其阈值后更新UE的NCC。

较佳地,更新UE的NCC时,进一步包括:

若判定PDCP实体发生变化,则通过RRC连接恢复消息MSG4向UE指示更新的NCC,并重置定时器和/或计数器。

较佳地,通过以下方式之一或者其组合更新UE的NCC:

利用RRC连接恢复消息向UE指示新的NCC;

在使UE从连接态变为INACTIVE态的消息中配置更新的NCC;

在UE变为连接态期间配置更新的NCC。

本发明实施例中提供了一种基站,包括:

处理器,用于读取存储器中的程序,执行如下方法:

为进入INACTIVE状态后的UE设定安全更新定时器和/或计数器;

根据PDCP实体是否发生变化,以及所述安全更新定时器是否超时和/或所述计数器是否达到其阈值来确定是否更新UE的NCC;

收发机,用于在处理器的控制下接收和发送数据,执行下列过程:

根据更新UE的NCC的需要收发数据。

较佳地,进一步包括:

在所述安全更新定时器超时和/或所述计数器达到其阈值时,根据UE的状态按预设策略更新UE的NCC。

较佳地,进一步包括:

若设定的是定时器,当UE初次驻留到一个新基站,且PDCP实体发生改变时,重新启动该定时器;或,

若设定的是定时器,该定时器超时后,重新启动该定时器;或,

若设定的是计数器,当UE初次驻留到一个新基站,且PDCP实体发生改变时,重新启动该计数器;或,

若设定的是计数器,该计数器达到其阈值后,重新启动该定时器。

较佳地,进一步包括:

当发生一次PDCP实体未变的RRC连接恢复过程、或RRC重建过程后,将该计数器的数值加1。

较佳地,判断PDCP实体是否发生变化是在当基站收到INACTIVE UE发送的连接恢复请求消息时,根据基站是否存有该UE的上下文,来判断该UE的PDCP实体是否发生变化的。

较佳地,根据PDCP实体是否发生变化,以及所述安全更新定时器是否超时和/或所述计数器是否达到其阈值来确定是否更新UE的NCC,包括:

若PDCP实体发生变化,则更新UE的NCC;或,

若PDCP实体未发生变化,且仅采用定时器,则当定时器超时后更新UE的NCC;或,

若PDCP实体未发生变化,且仅采用计数器,则当计数器达到其阈值后更新UE的NCC;或,

若PDCP实体未发生变化,且同时采用定时器和计数器,则当定时器超时或计数器达到其阈值后更新UE的NCC;或,

若PDCP实体未发生变化,且同时采用定时器和计数器,则当定时器超时且计数器达到其阈值后更新UE的NCC。

较佳地,更新UE的NCC时,进一步包括:

若判定PDCP实体发生变化,则通过RRC连接恢复消息MSG4向UE指示更新的NCC,并重置定时器和/或计数器。

较佳地,通过以下方式之一或者其组合更新UE的NCC:

利用RRC连接恢复消息向UE指示新的NCC;

在使UE从连接态变为INACTIVE态的消息中配置更新的NCC;

在UE变为连接态期间配置更新的NCC。

本发明实施例中提供了一种NCC更新装置,包括:

设定模块,用于为进入INACTIVE状态后的UE设定安全更新定时器和/或计数器;

更新判断模块,用于根据PDCP实体是否发生变化,以及所述安全更新定时器是否超时和/或所述计数器是否达到其阈值来确定是否更新UE的NCC。

本发明实施例中提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述下一跳链计数器更新方法。

本发明实施例中提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述下一跳链计数器更新方法的计算机程序。

本发明有益效果如下:

本发明实施例提供的技术方案中,为进入INACTIVE状态后的UE设定安全更新定时器和/或计数器,然后根据PDCP实体是否发生变化,以及所述安全更新定时器是否超时和/或所述计数器是否达到其阈值来确定是否更新UE的NCC。由于确定是否更新UE的NCC是通过设定一个安全更新定时器和/或计数器,并基于对PDCP实体是否发生变化、该定时器是否超时和/或计数器是否达到其阈值来判断的,因此相比于LTE中的终端密钥更新机制降低了更新的频度,从而降低了相应的信令开销。

进一步的,还可以通过调整前述定时器及计数器的阈值,为满足未来5G移动通信系统的安全要求提供较大的灵活性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:

图1为背景技术中EPS密钥层次结构示意图;

图2为本发明实施例中LTE连接恢复相关过程安全信息更新流程示意图;

图3为本发明实施例中NCC更新方法实施流程示意图;

图4为本发明实施例中NCC更新装置结构示意图;

图5为本发明实施例中基站结构示意图。

具体实施方式

发明人在发明过程中注意到LTE中连接恢复过程及其安全机制中:

在LTE中,RRC连接恢复过程发生于IDLE(空闲态)UE。IDLE UE在RRC连接恢复过程成功后将进入CONNECTED(连接态)。因此,每次RRC连接恢复过程之前都存在对应的RRC连接挂起过程。

1)恢复前的挂起过程。

LTE中,eNB向MME请求挂起UE上下文及相关承载上下文(保存在EPC),然后将UE转移到RRC_IDLE。eNB先向MME发S1-AP UE Context Suspend Request(S1-AP用户设备上下文挂起请求;S1-AP:S1Application Protocol,S1接口应用协议))消息,MME根据其本地策略,可能向eNB发送新的{NH,NCC}对。然后,eNB向UE发送RRC connection Suspend(RRC连接挂起)消息,其中携带的是旧的安全信息。若eNB获得了更新的{NH,NCC}对,则保持KRRCint(RRC信令完整性保护密钥),而删除AS(Access Stratum,接入层)安全上下文的其他密钥,也就是说,在向UE发送RRC connection Suspend消息后删除KeNB,KRRCenc和KUPenc(用户面加密密钥);否则,若eNB未从MME获得更新的{NH,NCC}对,则保持AS密钥。

2)挂起后的恢复过程。

RRC Connection Resume Request(RRC连接恢复请求)消息中的安全信息为ShortResumeMAC-I,其计算输入包括此前UE被挂起的源基站C-RNTI(Cell-Radio Network Temporary Identifier,小区无线网络临时标识),源基站PCI(physical cell identity,物理层小区标识),恢复常数、目标基站Cell-ID以及与源基站端一致的KRRCint。ShortResumeMAC-I用于网络侧验证用户。目标基站收到UE的RRC Connection Resume Request消息后基于该消息中的Resume ID信息向源基站发送UE上下文请求消息,源基站收到该消息后会根据UE ID、KRRCint等信息生成另一个short MAC-I,与UE发送的short MAC-I进行比较。若相同,则源基站推导新的KeNB*。若源基站在此前的挂起过程中从MME获得了更新的{NH,NCC}对,则使用该{NH,NCC}对,推导新的KeNB*。然后,向目标基站发送该UE的上下文,包括新的KeNB*、与之相关的新NCC、UE EPS安全能力(包括UE支持的安全算法及源小区采用的加密和完整性保护算法)。据此,目标基站推导与源自KeNB*的算法对应的新AS密钥(RRC完整性密钥、加密密钥和UP密钥),将所有PDCP COUNT(PDCP计数器)重置为0,并激活PDCP层的新密钥。

接下来,目标基站回应UE以RRC Connection Resume消息(包括从源基站获取的NCC),采用新AS密钥在PDCP层进行完整性保护。UE收到该消息后,对其MAC-I进行完整性校验,若校验成功,则UE将所有PDCP COUNT重置为0,激活PDCP层新AS密钥,然后向目标基站发送同时采用完整性保护和加密的RRC Connection Resume Complete消息。

对于UE恢复到新基站的情形,在恢复过程成功后,目标基站还将执行如X2切换中的Path Switch(路径转换)过程;对于UE恢复到相同基站的情形,在恢复过程成功后,该基站还将向MME发送S1-AP UE Context Resume Request消息,MME收到该消息后依据其本地策略确定是否推导新NH。若其本地策略指示推导了新NH,则将相应的新{NH,NCC}对通过S1-AP UE Context Resume Response消息发送给基站。

图2为LTE连接恢复相关过程安全信息更新流程示意图,根据上述描述,若UE在新基站恢复时的安全信息更新流程如图2所示。

对于NR连接恢复过程及其安全机制,在5G NR(next generation Radio,下一代空口)中,RRC连接恢复过程发生于INACTIVE(非活跃)UE。即使对于成功的RRC连接恢复过程,UE是否必须进入连接态还有待确定。一种可能的方式是:在连接恢复过程完成之后,UE依然保持在INACTIVE状态。另外,在此过程中的完整安全机制也还有待确定。

综上,现有技术的不足在于:在LTE中,当每次进行RRC连接恢复或重建时都可能更新UE的密钥,该方法的密钥更新过于频繁,有时没有必要。另一种方法是当发生PDCP实体更改时才更新密钥,该方法虽然减少了密钥更新次数,但也增加了实现复杂度,且其对RRC连接恢复等相关过程的安全方面影响还有待讨论。

在5G NR中,新增加了一种UE(终端)状态,即非活跃(INACTIVE)状态。为了尽可能减少UE能耗的同时降低控制面时延,INACTIVE状态的相关过程受到了较大关注,UE进入INACTIVE状态后如何对其密钥进行更新便是一个正在讨论的问题,其将影响到UE和网络的安全性以及相关信令开销。对此,本发明实施例中提出了UE进入非活跃状态后的密钥更新方案。下面结合附图对本发明的具体实施方式进行说明。

图3为NCC更新方法实施流程示意图,如图所示,包括:

步骤301、为进入INACTIVE状态后的UE设定安全更新定时器和/或计数器;

步骤302、根据PDCP实体是否发生变化,以及所述安全更新定时器是否超时和/或所述计数器是否达到其阈值来确定是否更新UE的NCC。

具体的,对于进入INACTIVE状态后的UE,为其设定一个安全更新定时器(包含时间阈值)和/或计数器(包含次数阈值),以辅助控制是否更新UE的NCC(Next hop Chaining Counter,下一跳链计数器)。其中,采用定时器的方式用以控制PDCP实体不变的情况下同一NCC的使用时长,而采用计数器的方式则用以控制PDCP实体不变的情况下同一NCC的使用次数。两种方式可选用其一,也可同时应用。

实施中,还可以进一步包括:

在所述安全更新定时器超时和/或所述计数器达到其阈值时,根据UE的状态按预设策略更新UE的NCC。

具体的,在UE进入非活跃状态后的密钥更新中,在决定更新UE的NCC后,可以根据定时器超时或计数器达到其阈值时UE的状态以及本地策略采用合适的NCC具体更新方式。

本地策略是指从可用的方法中选择一种,具体如何选择就是本地策略,在设置本地策略时,则可以由运营商来确定,可以根据实践需要来进行设置。

实施中,还可以进一步包括:

若设定的是定时器,当UE初次驻留到一个新基站,且PDCP实体发生改变时,重新启动该定时器;或,

若设定的是定时器,该定时器超时后,重新启动该定时器;或,

若设定的是计数器,当UE初次驻留到一个新基站,且PDCP实体发生改变时,重新启动该计数器;或,

若设定的是计数器,该计数器达到其阈值后,重新启动该定时器。

具体的,若采用定时器方式,则当该UE初次驻留到一个新基站(且PDCP实体发生改变)或该定时器超时后,(重新)启动该定时器;若采用计数器方式,则当该UE初次驻留到一个新基站(且PDCP实体发生改变)或该计数器达到其阈值后,(重新)启动该计数器。

实施中,还可以进一步包括:

当发生一次PDCP实体未变的RRC连接恢复过程、或RRC重建过程后,将该计数器的数值加1。

具体的,若采用计数器方式,在重新启动该计数器时,后续当发生一次PDCP实体未变的RRC连接恢复、重建过程后,该计数器的数值加1。

实施中,判断PDCP实体是否发生变化是在当基站收到INACTIVE UE发送的连接恢复请求消息时,根据基站是否存有该UE的上下文,来判断该UE的PDCP实体是否发生变化的。

具体的,当基站收到某个INACTIVE UE发送的连接恢复请求消息时,可以根据本基站是否存有该UE的上下文,来判断该UE的PDCP实体是否发生变化。

实施中,根据PDCP实体是否发生变化,以及所述安全更新定时器是否超时和/或所述计数器是否达到其阈值来确定是否更新UE的NCC,包括:

若PDCP实体发生变化,则更新UE的NCC;或,

若PDCP实体未发生变化,且仅采用定时器,则当定时器超时后更新UE的NCC;或,

若PDCP实体未发生变化,且仅采用计数器,则当计数器达到其阈值后更新UE的NCC;或,

若PDCP实体未发生变化,且同时采用定时器和计数器,则当定时器超时或计数器达到其阈值后更新UE的NCC;或,

若PDCP实体未发生变化,且同时采用定时器和计数器,则当定时器超时且计数器达到其阈值后更新UE的NCC。

具体的,若判定PDCP实体未发生变化,则判断安全更新定时器是否超时或计数器是否达到其阈值,由此判定是否需更新UE的NCC,具体则可以如下:

若仅采用定时器,则当定时器超时后才需更新UE的NCC;

若仅采用计数器,则当计数器达到其阈值后才需更新UE的NCC;

若同时采用定时器和计数器,则可以有两种方式:

当定时器超时或计数器达到其阈值后才需更新UE的NCC;

当定时器超时且计数器达到其阈值后才需更新UE的NCC。

实施中,更新UE的NCC时,还可以进一步包括:

若判定PDCP实体发生变化,则通过RRC连接恢复消息MSG4向UE指示更新的NCC,并重置定时器和/或计数器。

具体的,若判定PDCP实体发生变化,则更新UE的NCC,即利用RRC连接恢复消息MSG4向UE指示更新的NCC,以供UE更新当前各个相关密钥。同时,重置前述定时器和/或计数器。

实施中,若判定PDCP实体未发生变化,则可以通过以下方式之一更新UE的NCC:

利用RRC连接恢复消息向UE指示新的NCC;或,

在使UE从连接态变为INACTIVE态的消息中配置更新的NCC;或,

在UE变为连接态期间配置更新的NCC。

具体的,若判定需更新UE的NCC,则可以根据定时器超时或计数器达到其阈值的时刻,以及本地策略,采用合适的方式更新UE的NCC,并重置该定时器或计数器。其中,更新UE的NCC的方式可以包括但不限于如下某一种:

利用RRC连接恢复(类似于RRCConnectionResume)向UE指示新的NCC;

在使UE从连接态变为INACTIVE态的消息中配置新的NCC;

在UE变为连接态期间配置新的NCC,包括但不限于利用重建(类似于RRCConnectionReestablishment)消息或RRC连接重配(类似于RRCConnectionReconfiguration)消息来配置。

下面通过实例进行说明。

实施例1:

本例中,是判断UE的PDCP实体是否发生变化的实施方式,具体可以如下:

1、一个INACTIVE UE移动到某个基站覆盖范围内后,当有业务到达时,向该基站发送RRC连接恢复请求消息;

2、当基站收到RRC连接恢复请求消息时,提取出该消息中的恢复标识信息,以据此在本地查找是否存有该恢复标识对应的UE上下文信息。

若基站在本地找到了恢复标识对应的UE上下文信息,则认为UE在同一基站发起了RRC连接恢复请求,故判定该UE的PDCP实体未发生变化;

若基站在本地未能找到恢复标识对应的UE上下文信息,则认为UE在新的基站发起了RRC连接恢复请求,故判定该UE的PDCP实体发生变化。

实施例2:

本例中,是当仅采用定时器或计数器方式时的NCC更新实施方式,具体可以如下:

若定时器超时或计数器达到其阈值时,若UE为非活跃状态,则根据本地策略,选择如下一种NCC更新方式:

在后续RRC连接恢复过程中利用RRC连接恢复(类似于RRCConnectionResume)消息向UE指示新的NCC;

当后续RRC连接恢复过程成功后UE进入连接态时,利用RRC连接重建(类似于RRCConnectionReestablishment)消息,或利用RRC连接重配(类似于RRCConnectionReconfiguration)消息向UE指示新的NCC;

当后续RRC连接恢复过程成功后UE进入连接态,且随后需再回到非活跃状态时,在使UE从连接态变为INACTIVE态的消息中配置新的NCC;

若定时器超时或计数器达到其阈值时UE为连接态,则根据本地策略,选择如下一种NCC更新方式:

利用RRC连接重建(类似于RRCConnectionReestablishment)消息,或利用RRC连接重配(类似于RRCConnectionReconfiguration)消息向UE指示新的NCC;

若UE随后需再回到非活跃状态,在使UE从连接态变为INACTIVE态的消息中配置新的NCC。

实施例3:

本例中,是当同时采用定时器和计数器方式时的NCC更新实施方式,具体可以如下:

若采用:当定时器超时或计数器达到其阈值后才需更新UE的NCC,则:

若定时器在计数器达到其阈值前超时,则根据定时器超时时UE的状态,并根据本地策略,依照实施例2选择一种NCC更新方式;

若计数器在定时器超时前达到其阈值,则根据计数器达到其阈值时UE的状态,并根据本地策略,依照实施例2选择一种NCC更新方式;

若采用:定时器超时且计数器达到其阈值后才需更新UE的NCC,则:

若定时器超时发生于计数器达到其阈值之后,则根据定时器超时时UE的状态,并根据本地策略,依照实施例2选择一种NCC更新方式;

若定时器超时发生于计数器达到其阈值之前,则根据计数器达到其阈值时UE的状态,并根据本地策略,依照实施例2选择一种NCC更新方式;

基于同一发明构思,本发明实施例中还提供了NCC更新装置、基站、计算机设备、计算机可读存储介质,由于这些设备解决问题的原理与NCC更新方法相似,因此这些设备的实施可以参见方法的实施,重复之处不再赘述。

图4为NCC更新装置结构示意图,如图所示,可以包括:

设定模块401,用于为进入INACTIVE状态后的UE设定安全更新定时器和/或计数器;

更新判断模块402,用于根据PDCP实体是否发生变化,以及所述安全更新定时器是否超时和/或所述计数器是否达到其阈值来确定是否更新UE的NCC。

为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。

在实施本发明实施例提供的技术方案时,可以按如下方式实施。

图5为基站结构示意图,如图所示,基站中包括:

处理器500,用于读取存储器520中的程序,执行下列过程:

为进入INACTIVE状态后的UE设定安全更新定时器和/或计数器;

根据PDCP实体是否发生变化,以及所述安全更新定时器是否超时和/或所述计数器是否达到其阈值来确定是否更新UE的NCC;

收发机510,用于在处理器500的控制下接收和发送数据,执行下列过程:

根据更新UE的NCC的需要收发数据。

实施中,进一步包括:

在所述安全更新定时器超时和/或所述计数器达到其阈值时,根据UE的状态按预设策略更新UE的NCC。

实施中,进一步包括:

若设定的是定时器,当UE初次驻留到一个新基站,且PDCP实体发生改变时,重新启动该定时器;或,

若设定的是定时器,该定时器超时后,重新启动该定时器;或,

若设定的是计数器,当UE初次驻留到一个新基站,且PDCP实体发生改变时,重新启动该计数器;或,

若设定的是计数器,该计数器达到其阈值后,重新启动该定时器。

实施中,进一步包括:

当发生一次PDCP实体未变的RRC连接恢复过程、或RRC重建过程后,将该计数器的数值加1。

实施中,判断PDCP实体是否发生变化是在当基站收到INACTIVE UE发送的连接恢复请求消息时,根据基站是否存有该UE的上下文,来判断该UE的PDCP实体是否发生变化的。

实施中,根据PDCP实体是否发生变化,以及所述安全更新定时器是否超时和/或所述计数器是否达到其阈值来确定是否更新UE的NCC,包括:

若PDCP实体发生变化,则更新UE的NCC;或,

若PDCP实体未发生变化,且仅采用定时器,则当定时器超时后更新UE的NCC;或,

若PDCP实体未发生变化,且仅采用计数器,则当计数器达到其阈值后更新UE的NCC;或,

若PDCP实体未发生变化,且同时采用定时器和计数器,则当定时器超时或计数器达到其阈值后更新UE的NCC;或,

若PDCP实体未发生变化,且同时采用定时器和计数器,则当定时器超时且计数器达到其阈值后更新UE的NCC。

实施中,更新UE的NCC时,进一步包括:

若判定PDCP实体发生变化,则通过RRC连接恢复消息MSG4向UE指示更新的NCC,并重置定时器和/或计数器。

实施中,若判定PDCP实体未发生变化,则通过以下方式之一或者其组合更新UE的NCC:

利用RRC连接恢复消息向UE指示新的NCC;或,

在使UE从连接态变为INACTIVE态的消息中配置更新的NCC;或,

在UE变为连接态期间配置更新的NCC。

其中,在图5中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器500代表的一个或多个处理器和存储器520代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机510可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器500负责管理总线架构和通常的处理,存储器520可以存储处理器500在执行操作时所使用的数据。

实施例中还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的NCC更新方法。

实施例中还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述的NCC更新方法的计算机程序。

具体实施可以参见上述NCC更新方法的实施。

综上所述,在本发明实施例提供的技术方案中,对于进入INACTIVE状态后的UE,为其设定一个安全更新定时器和/或计数器,并通过判断PDCP实体是否发生变化,以及该安全更新定时器是否超时和/或计数器是否达到其阈值,来决定是否更新UE的NCC,并根据定时器超时或计数器达到其阈值时UE的状态以及本地策略采用合适的NCC具体更新方式。

对于进入INACTIVE状态后的UE,为其设定一个安全更新定时器(包含时间阈值)和/或计数器(包含次数阈值),以辅助控制是否更新UE的NCC(Next hop Chaining Counter,下一跳链计数器)。其中,采用定时器的方式用以控制PDCP实体不变的情况下同一NCC的使用时长,而采用技术器的方式则用以控制PDCP实体不变的情况下同一NCC的使用次数。两种方式可选用其一,也可同时应用。

方案中,通过设定一个安全更新定时器和/或计数器,并基于对PDCP实体是否发生变化、该定时器是否超时和/或计数器是否达到其阈值的判断来决定是否更新UE的NCC以及具体的更新方式,相比于LTE中的终端密钥更新机制降低了更新的频度,从而降低了相应的信令开销。同时,可通过调整前述定时器及计数器的阈值,为满足未来5G移动通信系统的安全要求提供较大的灵活性。

本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

再多了解一些
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1