一种安全验证处理方法、装置、终端及基站的制作方法

一种安全验证处理方法、装置、终端及基站的制作方法
【技术领域】
[0001]本发明涉及通信领域，尤其涉及一种安全验证处理方法、装置、终端及基站。
【背景技术】
[0002]为了有效的提高覆盖和增大系统的通信容量，目前3GPP标准组织正在研究在LTE-A系统中部署Small cell (小小区，或者微基站)。所谓Small cell，是相对于原有的Macro eNB (宏小区，或者宏基站)而言的，其主要特征为其射频发射功率较低，所以，通常覆盖范围也相对于宏基站要小。在部署上，Small cell通常是在宏基站的已有的覆盖范围内，根据不同的地形条件和客户需求，在特定的区域部署一个或多个微基站，用来提供网络的覆盖增强和无线资源复用，增加系统容量。
[0003]当用户同时处于宏小区和小小区的覆盖范围之内的时候，可以同时保持与两个基站的RRC连接状态，即宏小区和小小区可以同时为该用户服务，用户保持宏小区和小小区两条物理通信链路。当两个基站同时为用户提供服务时，有一个基站作为MeNB (MastereNB，主导基站)，而另外一个基站称为SeNB (Secondary eNB,辅助基站)。通常，MeNB辅助用户控制相关信息的管理，而SeNB主要为UE提供无线相关的资源。这种网络架构，通常被称为双连接。采用双连接技术，可以有效的增加用户的上下行通信速率、增大系统的通信容量，同时，也具有信令优化和移动鲁棒性增强的优点。一种典型的双连接的网络架构如图1所示:终端可以同时接收到宏小区与小小区的信号，而宏小区与小小区之间可以进行信息回传。
[0004]目前，在采用双连接技术时，用户的控制面由MeNB管理，而SeNB主要负责提供用户面的无线资源，如图2所示。其中虚线表示为用户面的信息传输，实线表示为控制面的信息传输。
[0005]在双连接机制中，用户的控制面相关信息，都是由MeNB统一控制和管理的。具体的协议流程如图3所示:
[0006]步骤S300a，MeNB决定为UE建立双连接。或者
[0007]步骤S300b: SeNB修改其此前为UE提供的双连接配置。
[0008]步骤S302 =MeNB请求SeNB为UE增加或者修改双连接资源配置。此时，MeNB可以同时告知需要SeNB提供资源的业务承载，并携带SeNB使用的QoS参数以及UE的能力等相关参数。
[0009]步骤S304 =SeNB依据其自身资源状况来做接纳控制等操作。
[0010]步骤S306 =SeNB向MeNB确认其为UE提供的双连接资源配置。此时SeNB将自己提供给UE的无线配置参数一并发送给MeNB，供MeNB再后续给UE做无线参数配置时发送给UE使用。
[0011]步骤S308 =MeNB根据自身及从SeNB获取的参数情况，形成对UE的配置参数，通过RRC连接重配过程为UE进行无线参数配置。
[0012]步骤S310:依据不同的承载属性，在MeNB和SeNB之间进行数据转发并交互各自的数据分组。
[0013]步骤S312:UE完成无线参数配置后，向MeNB确认配置过程成功完成。
[0014]步骤S314:UE与SeNB建立起无线连接。
[0015]步骤S316 =SeNB通知MeNB，UE已经与SeNB建立起连接，SeNB开始为UE提供服务。
[0016]步骤S318 =MeNB将UE的数据承载信息通知给核心网控制节点MME。
[0017]步骤S320 =MME将UE的数据承载信息通知给核心网服务节点S_GW。
[0018]在LTE的现有技术中，为了保证基站与UE之间的信令和/或数据的安全性，采用了加密和完整性保护机制。具体地，UE和基站的HXP (Packet Data ConvergenceProtocol，分组数据汇聚协议)层负责这些安全机制的执行，包括:加密、解密、完整性保护、完整性校验。其中，对于UE和基站之间交互传输的控制信令，通常会同时执行加密和完整性保护。对于UE与基站之间交互传输的用户数据，会执行加密，可选的执行完整性保护。如图4所示中的数据承载(DRB)处理为例，在UE与基站eNB之间传输每个DRB，上下行都会分别在基站和UE中的HXP层进行安全处理(如加密和/或完整性保护等)。然后再经过RLC(Rad1 Link Control，无线链路控制层)、MAC (数据链路层)、PHY (物理层)的处理。
[0019]在某些情况下，UE与基站之间的信令和/或数据传输会出现安全问题，如该传输链路遭到破坏(如攻击)或传输链路出现差错(如处理差错)，导致该链路上的信息出现失真或者信息泄露等，由此带来了安全风险。其中，当UE检测到传输链路上的信息的安全(如力口密和/或完整性保护等)校验发生失败时，若UE此前已经激活了安全过程，当前的处理方法如图 5 所不:UE 需要发起 RRC 重建请求(RRC Connect1n Reestablishment Request),基站eNB响应该请求进行RRC重建(RRC Connect1n Reestablishment),当该重建完成后，即 eNB 接收到 UE 发送的 RRC Connect1n Reestablishment Complete 响应后，向 UE发起 RRC 重配置(RRC Connect1n Reconfigurat1n),并在接收到 UE 的 RRC Connect1nReconfigurat1n Complete响应后,恢复相关的链路和配置。在发起和执行无线链路重建过程这期间，UE的业务也将中断。待成功进行了无线链路重建后，UE的业务可以恢复。
[0020]在双连接技术使用后，UE同时连接到MeNB和SeNB，UE与MeNB和SeNB都会保持双向的信息传输。同时，MeNB和SeNB与UE之间传输的信息内容,也可以米用安全机制(如加密和/或完整性保护等)。在图6所示的数据承载(DRB)处理过程中，数据在核心网处分流，分别由eNB及SeNB传输给UE’在UE与eNB之间及UE与SeNB之间传输每个DRB，在基站eNB及SeNB中的TOCP层进行安全处理。然后再经过RLC、MAC及PHY的处理，传输给UE。在图7所示的数据承载(DRB)处理过程中，数据在无线网处分流，由eNB传输的数据中部分数据被SeNB分流传输给UE’由eNB传输的每个DRB，在基站eNB的TOCP层进行安全处理。然后一部分数据经过eNB的RLC、MAC及PHY的处理，另一部分数据经过SeNB的RLC、MAC及PHY的处理，传输给UE。
[0021]在双连接技术使用过程中，当UE与某个基站如MeNB的信息传输链路上的安全是完好的，而与另外一个基站SeNB出现了问题，如加解密失败或者完整性校验失败，也就是UE可能会在一个无线链路上安全运行正常，而在另外一个链路上出现安全校验失败。
[0022]对于上述问题，当前实际上并没有任何机制可以处理。也就是说，对于MeNB与SeNB同时为UE提供双连接服务时，若UE只与某一个基站的无线传输链路发生安全问题时， 在现有技术中并没有给出相应的处理过程。

【发明内容】

[0023]为了解决上述技术问题，本发明提供了一种安全验证处理方法、装置、终端及基站，在主导基站和辅助基站的安全验证结果表明有无线通信终端与某基站的无线链路发生安全问题时，确定了相应的处理过程。
[0024]为了实现上述目的，本发明提供了一种安全验证处理方法，用于一无线通信终端，所述无线通信终端能够工作于包括主导基站和辅助基站的双连接无线通信网络中，所述方法包括:第一获取步骤:分别针对主导基站和辅助基站进行安全验证，得到第一安全验证结果和第二安全验证结果；第一处理步骤:当所述第一安全验证结果和第二安全验证结果中的一个安全验证结果指示安全验证失败，仅针对和目标基站之间的通信进行终端侧安全控制操作，所述目标基站为所述主导基站和辅助基站中，指示验证失败的安全验证结果对应的基站。
[0025]优选的，所述终端侧安全控制操作为:中断与所述目标基站之间的部分或全部的信息传输；和/或通过一通知消息通知所述目标基站安全验证失败，以使得所述目标基站进行网络侧安全控制操作。
[0026]优选的，当与所述目标基站之间的部分承载安全验证失败时，所述通知消息携带有所述部分承载的信息，所述终端侧安全控制操作具体包括:中断与所述目标基站之间通过所述部分承载信息传输；和/或通过与所述目标基站之间的安全验证成功的承载发送所述通知消息到所述目标基站，以使得所述目标基站能够停止在所述部分承载上的信息传输。
[0027]优选的，当与所述目标基站之间的所有承载都安全验证失败时，所述终端侧安全控制操作具体包括:中断与所述目标基站之间的全部信息传输；和/或通过指示安全验证成功的安全验证结果对应的基站发送所述通知消息到所述目标基站，以使得所述目标基站能够停止在所述所有承载上的信息传输。
[0028]优选的，当所述目标基站为所述辅助基站时，且与所述辅助基站之间的部分承载都安全验证失败时，所述通知消息携带有所述部分承载的信息，所述终端侧安全控制操作具体包括:中断与所述辅助基站之间通过所述部分承载进行的信息传输；和/或通过所述主导基站发送所述通知消息到所述辅助基站，以使得所述辅助基站能够停止在所述部分承载上的信息传输。
[0029]优选的，当所述目标基站为所述辅助基站时，且所述终端侧安全控制操作包括中断与所述辅助基站之间的部分或全部的信息传输时，所述处理方法还包括:第一接收步骤:从所述主导基站接收更新后的安全参数；中断恢复步骤:根据所述更新后的安全参数更新安全配置后，恢复被中断的所述信息传输。
[0030]优选的，所述通知消息中携带请求所述目标基站停止信息传输的原因，和/或指示安全验证失败的具体信息。
[0031]优选的，所述指示安全验证失败的具体信息包括安全验证失败的原因和/或安全验证失败的承载信息。
[0032]本发明还提供了一种安全验证处理方法，用于一无线通信终端，所述无线通信终端能够工作于包括主导基站和辅助基站的双连接无线通信网络中，所述方法包括:第二获取步骤:对与主导基站和辅助基站之间的信息传输进行安全验证，得到第三安全验证结果；第二处理步骤，当所述第三安全验证结果指示安全验证失败时，向所述主导基站发送重建无线链路请求。
[0033]优选的，在发起重建无线链路的过程中，通知所述主导基站所述无线通信终端对基站的安全验证失败和/或指示安全验证失败的具体信息。
[0034]优选的，所述指示安全验证失败的具体信息包括安全验证失败的基站信息、安全验证失败的原因和/或安全验证失败的承载信息。
[0035]本发明还提供了一种安全验证处理方法，用于双连接无线通信网络中的主导基站和辅助基站的一个基站，所述方法包括:第二接收步骤:接收无线通信终端发送的通知消息，所述通知消息指示所述无线通信终端对另一个基站的参数配置失败或者安全验证失败；发送步骤:向所述另一个基站发送所述通知消息，以使得所述另一个基站根据所述通知消息停止与所述无线通信终端的信息传输。
[0036]优选的，所述通知消息携带有所述另一个基站与无线通信终端之间的部分承载的信息，所述发送步骤向所述另一个基站发送所述通知消息，以使得所述另一个基站根据所述通知消息停止在所述部分承载上或者在所述全部承载上的信息传输。
[0037]本发明还