专利名称:一种安全参数修改方法及基站的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种安全参数修改方法及基站。
背景技术:
长期演进(LTE,Long Term Evolution)系统中,移动性管理实体(MME, MobilityManagement Entity)会保存注册成功的用户设备(UE, User Equipment)的UE上下文,同时MME会通过初始UE上下文建立消息,将UE上下文通知给演进基站(eNB,evolved NodeB),eNB为UE分配无线资源或进行切换判决时,将UE上下文作为依据。
UE上下文包括最大聚合比特率(AMBR, Aggregate Maximum Bit Rate)、UE安全能力、安全密钥、演进无线接入承载(ERAB,Evolved Radio Access Bear)信息、异系统/频率优先级用户标识、电路交换回退(CSFB, Circuit Switched Fallback)能力指示信息等。其中,安全密钥用于生成对信令和数据进行加密或完整性保护的安全参数,eNB根据安全参数对信令和数据进行加密或完整性保护,UE根据安全参数对接收到的信令和数据进行相应的解密操作。若安全密钥发生了改变,则需要对eNB和UE的安全参数进行修改,现有技术中的安全参数修改方法如图I所示,其具体处理流程如下步骤11,MME执行鉴权与密钥协商(AKA,Authentication and Key Agreement)过程,生成新的密钥Kasme,并根据新的密钥Kasme,生成新的eNB的安全密钥KeNB,MME向eNB发送UE上下文修改请求消息,UE上下文修改请求消息中携带有新的安全密钥KeNB ;步骤12,eNB根据新的安全密钥KeNB,生成新的安全参数,完成了 eNB侧安全参数的修改,后续使用新的安全参数对信令和数据进行加密或完整性保护;步骤13,eNB不仅需要对自身的安全参数进行修改,还需要通知UE生成新的安全参数,eNB通过小区内切换过程来完成UE侧安全参数的修改,在小区内切换过程中,eNB将携带有新的安全参数的无线资源控制(RRC, Radio Resource Control)连接重配消息发送给UE ;步骤14,UE接收到RRC连接重配消息后,根据新的安全密钥KeNB,生成新的安全参数;步骤15,UE在完成安全参数的修改后,向eNB发送RRC连接重配完成消息;步骤16,eNB接收到RRC连接重配完成消息后,确认UE完成了安全参数的修改,eNB向MME发送UE上下文修改响应消息。此时eNB和UE分别对自身的安全参数进行了修改,后续采用新的安全参数对信令和数据进行加密处理或完整性保护。由上述处理过程可知,现有技术中,eNB在接收到UE上下文修改请求消息后完成eNB侧安全参数的修改,并通过小区内切换过程中的RRC连接重配消息来完成UE侧安全参数的修改。在UE进行小区内切换的过程中,可能会出现无线链路失败、RRC连接重配参数校验失败、切换超时等异常情况,若出现上述异常情况,则小区内切换失败,UE会发起RRC连接重建立过程,此时需要中断安全参数的修改过程,eNB接收到RRC连接重建立请求消息后,确认UE侧安全参数修改失败,向MME向UE发送上下文修改失败消息,UE和eNB会将安全参数回退到之前的相关配置,在UE完成RRC重建后,MME会再次发起安全参数的修改流程,即执行步骤11 步骤17,重新对eNB和UE的安全参数进行修改。因此现有技术在对安全参数进行修改时,MME可能需要多次下发UE上下文修改请求消息,从而浪费了较多的传输资源和处理资源。
发明内容
本发明实施例提供一种安全参数修改方法及基站,用以解决现有技术中修改安全参数时浪费较多的传输资源和处理资源的问题。本发明实施例技术方案如下一种安全参数修改方法,该方法包括步骤演进基站eNB接收移动性管理实体MME发送的用户设备UE上下文修改请求消息,所述UE上下文修改请求消息中携带有新的安全密钥;eNB根据所述UE上下文修改请求消息中携带的安全密钥,生成新的安全参数;以及向 UE发送携带有新的安全参数的无线资源控制RRC连接重配消息,以指示UE在小区内切换过程中修改安全参数;若小区内切换失败,则UE向eNB发送RRC连接重建立请求消息;eNB在接收到UE发送的RRC连接重建立完成消息后,向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中重新修改安全参数。一种基站,包括上下文修改请求消息接收单元,用于接收移动性管理实体MME发送的用户设备UE上下文修改请求消息,所述UE上下文修改请求消息中携带有新的安全密钥;安全参数生成单元,用于根据上下文修改请求消息接收单元接收到的所述UE上下文修改请求消息中携带的安全密钥,生成新的安全参数;第一重配消息发送单元,用于向UE发送携带有新的安全参数的无线资源控制RRC连接重配消息,以指示UE在小区内切换过程中修改安全参数;重建立请求消息接收单元,用于接收UE在小区内切换失败时发送的RRC连接重建立请求消息;重建立完成消息接收单元,用于接收UE发送的RRC连接重建立完成消息;第二重配消息发送单元,用于在重建立完成消息接收单元接收到RRC连接重建立完成消息后,向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中重新修改安全参数。本发明有益效果如下本发明实施例技术方案中,eNB接收MME发送的UE上下文修改请求消息,所述UE上下文修改请求消息中携带有新的安全密钥,eNB根据所述新的安全密钥,生成新的安全参数,向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中修改安全参数,若小区内切换失败,则UE向eNB发送RRC连接重建立请求消息,eNB在接收到UE发送的RRC连接重建立完成消息后,向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中重新修改安全参数。由上可见,本发明实施例技术方案中,若小区内切换失败,则eNB不再直接向MME发送UE上下文修改失败消息,而是通过RRC连接重建立过程中的RRC连接重配消息来指示UE重新对安全参数进行修改,从而避免了MME多次下发UE上下文修改请求消息,有效地节省了传输资源和处理资源。
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图I为现有技术中,安全参数修改方法流程示意图;图2为本发明实施例中,安全参数修改方法流程示意图;图3为本发明实施例一中,安全参数修改方法具体实现流程示意图;图4为本发明实施例二中,安全参数修改方法具体实现流程示意图;图5为本发明实施例中,基站结构不意图。
具体实施例方式为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白,以下结 合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。如图2所示,为本发明实施例中安全参数修改方法流程图,其具体处理流程如下步骤21,eNB接收MME发送的UE上下文修改请求消息,所述UE上下文修改请求消息中携带有新的安全密钥;MME执行AKA过程后,生成新的密钥KASME,并根据新的密钥KASME,生成eNB新的安全常钥KeNB。步骤22,eNB根据所述UE上下文修改请求消息中携带的安全密钥,生成新的安全参数;其中安全参数包括信令完成性保护密钥完整性保护密钥Kraffiint、信令加密密钥^-RECenc、 用户数据加密密钥 KuPenc、Kypint °步骤23,eNB向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中修改安全参数;其中,eNB向UE发送的RRC连接重配消息中携带有用于指示UE修改安全参数的密钥修改指示信息,即将RRC连接重配消息中的密钥修改指示置为“真”。UE接收到RRC连接重配消息后,根据与MME预先协商的新的安全密钥KeNB,生成新的安全参数。步骤24,若小区内切换失败,则UE向eNB发送RRC连接重建立请求消息;在UE进行小区内切换的过程中,可能会出现无线链路失败、RRC连接重配参数校验失败、切换超时等异常情况,若出现上述异常情况,则小区内切换失败,此时UE发起RRC连接重建立过程,向eNB发送RRC连接重建立请求消息,中断安全参数的修改过程。步骤25,eNB在接收到UE发送的RRC连接重建立完成消息后,向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中重新修改安全参数。eNB接收到RRC连接重建立请求消息后,向UE发送RRC连接重建立消息,UE进行RRC连接重建立处理过程,在完成处理后,给eNB发送RRC连接重建立完成消息,eNB向UE发送RRC连接重配消息,RRC连接重配消息中携带有步骤22生成的新的安全参数以及用于指示UE修改安全参数的密钥修改指示信息,即将RRC连接重配消息中的密钥修改指示置为“真”,此外,RRC连接重配消息中还携带有移动性控制相关信元以及无线承载相关信息。UE接收到RRC连接重配消息后,根据与MME预先协商的新的安全密钥KeNB,生成新的安全参数,UE还根据RRC连接重配消息中携带的移动性控制相关信元以及无线承载相关信息,对无线资源参数进行重配,然后UE向eNB发送RRC连接重配完成消息,eNB接收到RRC连接重配完成消息后,确认完成了安全参数的修改,向MME发送UE上下文修改响应消息。若RRC连接重建立过程出现异常情况,则eNB向MME返回UE上下文修改失败消息,以及UE上下文释放请求消息,以通知MME释放UE上下文,MME释放UE上下文,并向eNB发送UE上下文释放命令消息,eNB进行UE上下文的释放,并向UE发送RRC连接释放消息,UE接收到RRC连接释放消息后释放RRC连接,eNB向MME发送UE上下文释放完成消息。由上述处理过程可知,本发明实施例技术方案中,eNB接收MME发送的UE上下文修改请求消息,所述UE上下文修改请求消息中携带有新的安全密钥,eNB根据所述新的安全密钥,生成新的安全参数,向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中修改安全参数,若小区内切换失败,则UE向eNB发送RRC连接重建立请求消息,eNB在接收到UE发送的RRC连接重建立完成消息后,向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中重新修改安全参数。由上可见, 本发明实施例技术方案中,若小区内切换失败,则eNB不再直接向MME发送UE上下文修改失败消息,而是通过RRC连接重建立过程中的RRC连接重配消息来指示UE重新对安全参数进行修改,从而避免了 MME多次下发UE上下文修改请求消息,有效地节省了传输资源和处理资源。下面给出更为具体的实施方式。实施例一eNB在进行数据上传和视频通话的过程中接收到MME下发的UE上下文修改请求消息,要求修改安全参数,eNB接收到UE上下文修改请求之前,下一跳(NH,Next Hop)密钥为5,下一跳计数器(NCC,Next hop Chaining Counter)为I,MME生成的新的安全密钥KeNB为10。如图3所示,为本发明实施例一中,安全参数修改方法具体实现流程示意图,其具体处理过程如下步骤31,在UE进行数据上传和视频通话过程中,核心网触发安全参数的修改流程,MME下发UE上下文修改请求消息给eNB,UE上下文修改请求消息中携带有新的安全密
钥 KeNB ;步骤32,eNB接收到UE上下文修改请求消息后,根据UE上下文修改请求消息中携带的新的安全密钥Kdffi以及当前小区的物理小区标识(PCI, Physical Cell Identify)、当前小区下行载频,使用密钥生成函数(KDF, Key Derivation Function)推导出KeNB*, KeNB*=KDF (10,当前小区PCI,当前小区下行载频),然后再根据KeNB*生成新的安全参数(KKmnt、
KRRCenc、Kupenc、Kupint);步骤33,eNB给UE下发RRC连接重配消息,RRC连接重配消息中携带有新的安全参数,且RRC连接重配消息中的密钥修改指示置为“真”;步骤34,若在UE进行小区内切换的过程中,出现无线链路失败、RRC连接重配参数校验失败、切换超时等异常情况,则小区内切换失败,此时UE发起RRC连接重建立过程,向eNB发送RRC连接重建立请求消息,中断安全参数的修改过程;步骤35,eNB接收到RRC连接重建立请求消息之后,缓存UE的数据,准备重建立相关资源,并使用接收到UE上下文修改请求消息之前的安全参数,同时eNB做本地配置恢复信令无线承载,如果本地配置成功,则向UE发送RRC连接重建立消息;步骤36,UE接收到RRC连接重建立消息后,恢复信令无线承载,向eNB发送RRC连接重建立完成消息;步骤37,eNB接收到RRC连接重建立完成消息后,恢复UE进行RRC重建立之前存在的业务,使用UE上下文修改请求消息中携带的安全密钥K.生成新的安全参数(KKKCint、KEECenc> Kupenc, Kupint),对自身的安全参数进行修改,并向UE发送RRC连接重配消息,RRC连接重配消息中携带有新的安全参数,且密钥修改指示置为“真”,RRC连接重配消息中还携带有移动性控制相关信元以及无线承载相关信息;步骤38,UE接收到RRC连接重配消息后,根据与MME预先协商的新的安全密钥KeNB,生成新的安全参数,并向eNB发送RRC连接重配完成消息,UE还根据RRC连接重配消息中携带的移动性控制相关信元以及无线承载相关信息,对无线资源参数进行重配;
步骤39,eNB收到“RRC连接重配完成”消息,确认完成了安全参数的修改,向MME发送UE上下文修改响应消息。实施例二eNB在进行数据上传过程中接收到MME下发的UE上下文修改请求消息,要求修改安全参数,eNB接收到UE上下文修改请求之前,下一跳(NH,Next Hop)密钥为5,下一跳计数器(NCC, Next hop Chaining Counter)为 I, MME 生成的新的安全密钥 KeNB 为 10。如图4所示,为本发明实施例二中,安全参数修改方法具体实现流程示意图,其具体处理过程如下步骤41,在UE进行数据上传过程中,核心网触发安全参数的修改流程,MME下发UE上下文修改请求消息给eNB, UE上下文修改请求消息中携带有新的安全密钥KeNB。步骤42,eNB接收到UE上下文修改请求消息后,根据UE上下文修改请求消息中携带的新的安全密钥Kdffi以及当前小区的物理小区标识(PCI, Physical Cell Identify)、当前小区下行载频,使用密钥生成函数(KDF, Key Derivation Function)推导出KeNB*, KeNB*=KDF (10,当前小区PCI,当前小区下行载频),然后再根据KeNB*生成新的安全参数(KKmnt、KRRCenc ' Kupenc > Kupint) ο步骤43,eNB给UE下发RRC连接重配消息,RRC连接重配消息中携带有新的安全参数,且RRC连接重配消息中的密钥修改指示置为“真”;步骤44,若在UE进行小区内切换的过程中,出现无线链路失败、RRC连接重配参数校验失败、切换超时等异常情况,则小区内切换失败,此时UE发起RRC连接重建立过程,向eNB发送RRC连接重建立请求消息,中断安全参数的修改过程;步骤45,eNB接收到RRC连接重建立请求消息之后,缓存UE的数据,准备重建立相关资源,并使用接收到UE上下文修改请求消息之前的安全参数,同时eNB做本地配置恢复信令无线承载,如果本地配置成功,则向UE发送RRC连接重建立消息;步骤46,UE接收到RRC连接重建立消息后,恢复信令无线承载,向eNB发送RRC连接重建立完成消息;步骤47,eNB接收到RRC连接重建立完成消息后,恢复UE进行RRC重建立之前存在的业务,使用UE上下文修改请求消息中携带的安全密钥K.生成新的安全参数(KKKCint、KEECenc> Kupenc, Kupint),对自身的安全参数进行修改,并向UE发送RRC连接重配消息,RRC连接重配消息中携带有新的安全参数,且密钥修改指示置为“真”,RRC连接重配消息中还携带有移动性控制相关信元以及无线承载相关信息;步骤48,UE接收到RRC连接重配消息后,根据与MME预先协商的新的安全密钥KeNB,生成新的安全参数,并向eNB发送RRC连接重配完成消息,UE还根据RRC连接重配消息中携带的移动性控制相关信元以及无线承载相关信息,对无线资源参数进行重配;步骤49,若步骤44 步骤48中任一步骤出现异常,则RRC连接重建立过程出现异常情况,此时eNB向MME发送UE上下文修改失败消息和UE上下文释放请求消息;步骤410,MME释放UE上下文,并向eNB发送UE上下文释放命令消息;步骤411,eNB进行UE上下文的释放,并向UE发送RRC连接释放消息,UE接收到RRC连接释放消息后释放RRC连接;
步骤412,eNB向MME发送UE上下文释放完成消息。相应的,本发明实施例还提供一种基站,其结构如图5所示,包括上下文修改请求消息接收单元51、安全参数生成单元52、第一重配消息发送单元53、重建立请求消息接收单元54、重建立完成消息接收单元55和第二重配消息发送单元56,其中上下文修改请求消息接收单元51,用于接收MME发送的UE上下文修改请求消息,所述UE上下文修改请求消息中携带有新的安全密钥;安全参数生成单元52,用于根据上下文修改请求消息接收单元51接收到的所述UE上下文修改请求消息中携带的安全密钥,生成新的安全参数;第一重配消息发送单元53,用于向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中修改安全参数;重建立请求消息接收单元54,用于接收UE在小区内切换失败时发送的RRC连接重建立请求消息;重建立完成消息接收单元55,用于接收UE发送的RRC连接重建立完成消息;第二重配消息发送单元56,用于在重建立完成消息接收单元53接收到RRC连接重建立完成消息后,向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中重新修改安全参数。较佳地,RRC连接重配消息中携带有用于指示UE修改安全参数的密钥修改指示信息。较佳地,所述基站还包括重配完成消息接收单元,用于接收UE在完成安全参数的修改以及无线资源参数的重配后发送的RRC连接重配完成消息;上下文修改响应消息发送单元,用于在重配完成消息接收单元接收到RRC连接重配完成消息后,向MME发送UE上下文修改响应消息。较佳地,所述基站还包括上下文释放请求消息发送单元,用于在UE的RRC连接重建立过程出现异常情况时,向MME返回UE上下文修改失败消息,以及UE上下文释放请求消息,以通知MME释放UE上下文;上下文释放命令消息接收单元,用于接收MME发送的UE上下文释放命令消息;
上下文释放单元,用于在上下文释放命令消息接收单元接收到UE上下文释放命令消息后,进行UE上下文的释放;释放消息发送单元,用于在上下文释放命令消息接收单元接收到UE上下文释放命令消息后,向UE发送RRC连接释放消息,指示UE释放RRC连接;上下文释放完成消息发送单元,用于在上下文释放单元完成UE上下文的释放后,向MME发送UE上下文释放完成消息。
上述说明示出并描述了本发明的一个优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
权利要求
1.一种安全参数修改方法,其特征在于,包括 演进基站eNB接收移动性管理实体MME发送的用户设备UE上下文修改请求消息,所述UE上下文修改请求消息中携带有新的安全密钥; eNB根据所述UE上下文修改请求消息中携带的安全密钥,生成新的安全参数;以及向UE发送携带有新的安全参数的无线资源控制RRC连接重配消息,以指示UE在小区内切换过程中修改安全参数; 若小区内切换失败,则UE向eNB发送RRC连接重建立请求消息;eNB在接收到UE发送的RRC连接重建立完成消息后,向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中重新修改安全参数。
2.如权利要求I所述的方法,其特征在于,RRC连接重配消息中携带有用于指示UE修改安全参数的密钥修改指示信息。
3.如权利要求I所述的方法,其特征在于,还包括 在完成安全参数的修改以及无线资源参数的重配后,UE向eNB发送RRC连接重配完成消息; eNB接收到RRC连接重配完成消息后,向MME发送UE上下文修改响应消息。
4.如权利要求I所述的方法,其特征在于,还包括 若RRC连接重建立过程出现异常情况,则eNB向MME返回UE上下文修改失败消息,以及UE上下文释放请求消息,以通知MME释放UE上下文; 接收到MME发送的UE上下文释放命令消息后,进行UE上下文的释放,并向UE发送RRC连接释放消息,指示UE释放RRC连接; eNB向MME发送UE上下文释放完成消息。
5.一种基站,其特征在于,包括 上下文修改请求消息接收单元,用于接收移动性管理实体MME发送的用户设备UE上下文修改请求消息,所述UE上下文修改请求消息中携带有新的安全密钥; 安全参数生成单元,用于根据上下文修改请求消息接收单元接收到的所述UE上下文修改请求消息中携带的安全密钥,生成新的安全参数; 第一重配消息发送单元,用于向UE发送携带有新的安全参数的无线资源控制RRC连接重配消息,以指示UE在小区内切换过程中修改安全参数; 重建立请求消息接收单元,用于接收UE在小区内切换失败时发送的RRC连接重建立请求消息; 重建立完成消息接收单元,用于接收UE发送的RRC连接重建立完成消息; 第二重配消息发送单元,用于在重建立完成消息接收单元接收到RRC连接重建立完成消息后,向UE发送携带有新的安全参数的RRC连接重配消息,以指示UE在小区内切换过程中重新修改安全参数。
6.如权利要求5所述的基站,其特征在于,RRC连接重配消息中携带有用于指示UE修改安全参数的密钥修改指示信息。
7.如权利要求5所述的基站,其特征在于,还包括 重配完成消息接收单元,用于接收UE在完成安全参数的修改以及无线资源参数的重配后发送的RRC连接重配完成消息;上下文修改响应消息发送单元,用于在重配完成消息接收单元接收到RRC连接重配完成消息后,向MME发送UE上下文修改响应消息。
8.如权利要求5所述的基站,其特征在于,还包括 上下文释放请求消息发送单元,用于在UE的RRC连接重建立过程出现异常情况时,向MME返回UE上下文修改失败消息,以及UE上下文释放请求消息,以通知MME释放UE上下文; 上下文释放命令消息接收单元,用于接收MME发送的UE上下文释放命令消息; 上下文释放单元,用于在上下文释放命令消息接收单元接收到UE上下文释放命令消息后,进行UE上下文的释放; 释放消息发送单元,用于在上下文释放命令消息接收单元接收到UE上下文释放命令消息后,向UE发送RRC连接释放消息,指示UE释放RRC连接; 上下文释放完成消息发送单元,用于在上下文释放单元完成UE上下文的释放后,向MME发送UE上下文释放完成消息。
全文摘要
本发明公开了一种安全参数修改方法及基站,该方法包括步骤eNB接收MME发送的UE上下文修改请求消息,所述UE上下文修改请求消息中携带有新的安全密钥;eNB根据所述UE上下文修改请求消息中携带的安全密钥,生成新的安全参数;向UE发送携带有新的安全参数的RRC连接重配消息;若小区内切换失败,则UE向eNB发送RRC连接重建立请求消息;eNB在接收到UE发送的RRC连接重建立完成消息后,向UE发送携带有新的安全参数的RRC连接重配消息。采用本发明技术方案,解决了现有技术中修改安全参数时浪费较多的传输资源和处理资源的问题。
文档编号H04W76/02GK102833741SQ20111015764
公开日2012年12月19日 申请日期2011年6月13日 优先权日2011年6月13日
发明者梁洁, 杨玉成 申请人:中兴通讯股份有限公司