一种加密数据的装置和方法与流程
本发明涉及无线通信领域,特别涉及一种加密数据的装置和方法。
背景技术:
当UE(User Equipment,用户设备)进行特定业务,如MTC(Machine Type Communication,机器类通信)业务时,会占用大量的网络资源,eNB(evolved Node B,演进型基站)为了防止UE进行特定业务时对普通网络的影响,会将进行特定业务的UE由普通网络重定向到特定网络中,并对eNB与UE之间通信的数据进行加密。
目前,提供了一种加密数据的方法,可以为:当UE附着到普通网络时,普通网络的第一MME(Mobility Management Entity,移动性管理实体)从UE的签约信息中获知需要将UE从普通网络重定向到特定网络时,第一MME向eNB发送切换触发消息,消息中包含切换的原因值(核心网触发的切换);eNB向第一MME发送切换需要消息,第一MME计算第一NCC(Next hop Chaining Counter,下一跳链计数器)和第一NH(Next Hop,下一跳),第一NCC为根据当前的第二NCC加一后得到的,第一NH为根据当前是第二NH计算得到的;第一MME发送向前重定位请求消息给特定网络的第二MME,该向前重定位请求消息携带第第一NCC和第一NH;第二MME接收第一MME发送的向前重定位请求消息,并发送切换请求消息给eNB,该切换请求消息携带第一NCC和第一NH,eNB接收第二MME发送的切换请求消息,并根据第一NCC和第一NH计算更新的密钥KeNB*,根据KeNB*对eNB与UE之间通信的数据进行加密。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
现有技术中对切换流程进行了简化,eNB不向UE发送切换命令消息,UE无法根据切换命令消息获得第一NCC,更无法计算更新的密钥KeNB*,从而导致eNB侧的KeNB与UE侧的KeNB不同步。
技术实现要素:
为了解决现有技术的问题,本发明提供了一种加密数据的装置和方法。所述技术方案如下:
第一方面,本发明提供了一种加密数据的装置,所述装置包括:
第一接收模块,用于接收第一移动性管理实体MME发送的切换触发消息,所述切换触发消息携带用户设备UE的标识;
第二接收模块,用于接收第二MME发送的切换请求消息;
保持模块,用于保持演进型基站eNB与所述UE之间共享的密钥KeNB不变;
加密模块,用于根据所述KeNB对所述eNB与所述UE之间通信的数据进行加密。
结合第一方面,在第一方面的第一种可能的实现方式中,所述装置还包括:
确定模块,用于根据所述切换触发消息确定出切换原因是核心网触发的切换;
第一发送模块,用于发送切换需要消息给所述第一MME,所述切换需要消息携带所述切换原因,使所述第一MME发送向前重定位请求消息给所述第二MME,所述向前重定位请求消息携带所述切换原因,以使所述第二MME发送所述切换请求消息给所述eNB。
结合第一方面,在第一方面的第二种可能的实现方式中,所述切换请求消息携带第一下一跳链计数器NCC和第一下一跳NH,所述第一NCC为所述第一MME根据第二NCC加一后得到的,所述第一NH为所述第一MME根据第二NH计算得到的,所述第二NCC为当前的NCC,所述第二NH为当前的NH;或者,
所述切换请求消息携带第二下一跳链计数器NCC和第二下一跳NH,所述第二NCC为当前的NCC,所述第二NH为当前的NH。
结合第一方面的第一种可能,在第一方面的第三种可能的实现方式中,所述向前重定位请求消息携带第一下一跳链计数器NCC和第一下一跳NH,所述第一NCC为所述第一MME根据第二NCC加一后得到的,所述第一NH为所述第一MME根据第二NH计算得到的,所述第二NCC为当前的NCC,所述第二NH为当前的NH;或者,
所述向前重定位请求携带第二下一跳链计数器NCC和第二下一跳NH,所述第二NCC为当前的NCC,所述第二NH为当前的NH。
结合第一方面,在第一方面的第四种可能的实现方式中,所述保持模块,包括:
确定单元,用于根据所述切换触发消息或者所述切换请求消息确定切换原因是核心网触发的切换;
保持单元,用于保持所述KeNB不变。
第二方面,本发明提供了一种加密数据的装置,所述装置包括:
第二发送模块,用于发送切换触发消息给演进型基站eNB,所述切换触发消息携带用户设备UE的标识,使所述eNB根据所述切换触发消息发送切换需要消息给第一移动性管理实体MME;
第三接收模块,用于接收所述eNB发送的所述切换需要消息;
获取模块,用于获取第二下一跳链计数器NCC和第二下一跳NH,所述第二NCC为当前的NCC,所述第二NH为当前的NH;
第三发送模块,用于发送向前重定位请求消息给第二移动性管理实体MME,所述向前重定位请求消息携带切换原因,使所述第二MME发送切换请求消息给所述eNB,以使所述eNB保持所述eNB与所述UE之间共享的密钥KeNB不变,并根据所述KeNB对所述eNB与所述UE之间通信的数据进行加密。
结合第二方面,在第二方面的第一种可能的实现方式中,所述切换请求消息携带第一NCC和第一NH,所述第一NCC为第一MME根据所述第二NCC加一后得到的,所述第一NH为所述第一MME根据所述第二NH计算得到的;或者,
所述切换请求消息携带所述第二NCC和所述第二NH。
结合第二方面,在第二方面的第二种可能的实现方式中,所述向前重定位请求消息携带第一NCC和第一NH,所述第一NCC为所述第一MME根据所述第二NCC加一后得到的,所述第一NH为所述第一MME根据所述第二NH计算得到的;或者,
所述向前重定位请求消息携带所述第二NCC和所述第二NH。
结合第二方面,在第二方面的第三种可能的实现方式中,所述装置还包括:
第一携带模块,用于将所述向前重定位请求消息的下一跳指示NHI设置为预设标识,并携带所述第二NCC和所述第二NH,或者,
第二携带模块,用于将所述向前重定位请求消息的旧演进分组系统EPS安全上下文的下一跳指示NHI_old设置为所述预设标识,并携带所述第二NCC和所述第二HN。
第三方面,本发明提供了一种加密数据的方法,所述方法包括:
接收第一移动性管理实体MME发送的切换触发消息,所述切换触发消息携带用户设备UE的标识;
接收第二MME发送的切换请求消息;
保持演进型基站eNB与所述UE之间共享的密钥KeNB不变,并根据所述KeNB对所述eNB与所述UE之间通信的数据进行加密。
结合第三方面,在第三方面的第一种可能的实现方式中,所述接收第一移动性管理实体MME发送的切换触发消息之后,所述方法还包括:
根据所述切换触发消息确定出切换原因是核心网触发的切换;
发送切换需要消息给所述第一MME,所述切换需要消息携带所述切换原因,使所述第一MME发送向前重定位请求消息给所述第二MME,所述向前重定位请求消息携带所述切换原因,以使所述第二MME发送所述切换请求消息给所述eNB。
结合第三方面的第一种可能,在第三方面的第二种可能的实现方式中,所述切换请求消息携带第一下一跳链计数器NCC和第一下一跳NH,所述第一NCC为所述第一MME根据第二NCC加一后得到的,所述第一NH为所述第一MME根据第二NH计算得到的,所述第二NCC为当前的NCC,所述第二NH为当前的NH;或者,
所述切换请求消息携带第二下一跳链计数器NCC和第二下一跳NH,所述第二NCC为当前的NCC,所述第二NH为当前的NH。
结合第三方面的第一种可能,在第三方面的第三种可能的实现方式中,所述向前重定位请求消息携带第一下一跳链计数器NCC和第一下一跳NH,所述第一NCC为所述第一MME根据第二NCC加一后得到的,所述第一NH为所述第一MME根据第二NH计算得到的,所述第二NCC为当前的NCC,所述第二NH为当前的NH;或者,
所述向前重定位请求消息携带第二下一跳链计数器NCC和第二下一跳NH,所述第二NCC为当前的NCC,所述第二NH为当前的NH。
结合第三方面,在第三方面的第四种可能的实现方式中,所述保持演进型基站eNB与所述UE之间共享的密钥KeNB不变,包括:
根据所述切换触发消息或者所述切换请求消息确定切换原因是核心网触发的切换,保持所述KeNB不变。
第四方面,本发明提供了一种加密数据的方法,所述方法包括:
发送切换触发消息给演进型基站eNB,所述切换触发消息携带用户设备UE的标识,使所述eNB根据所述切换触发消息发送切换需要消息给第一移动性管理实体MME;
接收所述eNB发送的所述切换需要消息,并获取第二下一跳链计数器NCC和第二下一跳NH,所述第二NCC为当前的NCC,所述第二NH为当前的NH;
发送向前重定位请求消息给第二MME,所述向前重定位请求消息携带切换原因,使所述第二MME发送切换请求消息给所述eNB,以使所述eNB保持所述eNB与所述UE之间共享的密钥KeNB不变,并根据所述KeNB对所述eNB与所述UE之间通信的数据进行加密。
结合第四方面,在第四方面的第一种可能的实现方式中,,所述切换请求消息携带第一NCC和第一NH,所述第一NCC为所述第一MME根据所述第二NCC加一后得到的,所述第一NH为所述第一MME根据所述第二NH计算得到的;或者,
所述切换请求消息携带所述第二NCC和所述第二NH。
结合第四方面,在第四方面的第二种可能的实现方式中,所述向前重定位请求消息携带第一NCC和第一NH,所述第一NCC为所述第一MME根据所述第二NCC加一后得到的,所述第一NH为所述第一MME根据所述第二NH计算得到的;或者,
所述向前重定位请求消息携带所述第二NCC和所述第二NH。
结合第四方面,在第四方面的第三种可能的实现方式中,所述发送向前重定位请求消息给第二移动性管理实体MME之前,所述方法还包括:
将所述向前重定位请求消息的下一跳指示NHI设置为预设标识,并携带所述第二NCC和所述第二NH,或者,
将所述向前重定位请求消息的旧演进分组系统EPS安全上下文的下一跳指示NHI_old设置为所述预设标识,并携带所述第二NCC和所述第二HN。
第五方面,本发明提供了一种加密数据的装置,所述装置包括:第一存储器和第一处理器,用于执行如第三方面任一权利要求所述的加密数据的方法。
第六方面,本发明提供了一种加密数据的装置,所述装置包括:第二存储器和第二处理器,用于执行如第四方面任一权利要求所述的加密数据的方法。
在本发明实施例中,eNB接收第一MME发送的切换触发消息以及接收第二MME发送的切换请求消息,根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,eNB获取当前与UE共享的KeNB,并将该KeNB作为切换MME后更新的密钥KeNB*,即保持eNB与UE之间的KeNB不变,并根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密,从而保证eNB侧与UE侧的KeNB同步。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例1提供的一种加密数据的装置结构示意图;
图2是本发明实施例2提供的一种加密数据的装置结构示意图;
图3是本发明实施例3提供的一种加密数据的方法流程图;
图4是本发明实施例4提供的一种加密数据的方法流程图;
图5是本发明实施例5提供的一种加密数据的方法流程图;
图6是本发明实施例6提供的一种加密数据的方法流程图;
图7是本发明实施例7提供的一种加密数据的装置结构示意图;
图8是本发明实施例8提供的一种加密数据的装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1
本发明实施例提供了一种加密数据的装置。参见图1,其中,该装置包括:
第一接收模块101,用于接收第一MME发送的切换触发消息,该切换触发消息携带用户设备UE的标识;
其中,第一MME从UE的签约信息中获知需要将UE从普通网络的第一MME切换到特定网络的第二MME时,获取UE的标识,并发送切换触发消息给第一接收模块101,该切换触发消息携带UE的标识。eNB接收第一MME发送的切换触发消息。
其中,UE的标识为任一可以标识UE的标识,在本发明实施例中,对UE的标识不做具体限定。例如,UE的标识为MME UE S1AP(Access Point,访问接入点)ID(Identity,身份标识号码)即MME在S1接口上唯一标识UE的标识或eNB UE S1AP ID即eNB在S1接口上唯一标识UE的标识等。第一MME为UE当前附着的MME。
其中,需要说明的是,在第一MME从UE的签约信息中获知需要将UE从普通网络的第一MME切换到特定网络的第二MME之前,UE向普通网络发起附着流程,并和网络侧的S-GW(Serving Gateway,服务网关)或者P-GW(PDN Gateway,PDN网关)建立PDN(Public Data Network,公用数据网)连接。
第二接收模块102,用于接收第二MME发送的切换请求消息。
其中,为了将UE由第一MME重定向到第二MME时,第二MME发送切换请求消息给第二接收模块102,第二接收模块102接收第二MME发送的该切换请求消息。
进一步地,第二接收模块102接收到第二MME发送的切换请求消息时,发送切换确认消息给第二MME。该切换确认消息用于通知第二MME可以进行此次切换。
保持模块103,用于保持演进型基站eNB与UE之间共享的密钥KeNB不变;
其中,保持模块103,包括:
确定单元,用于根据该切换触发消息或者该切换请求消息确定切换原因是核心网触发的切换;
其中,由于该切换触发消息是第一MME发送的,确定单元根据第一MME发送的切换触发消息可以确定出此次切换原因为核心网触发的切换;或者,切换请求消息中携带切换原因,确定单元可以根据切换原因确定切换原因是核心网触发的切换。
其中,核心网触发的切换只是将UE所附着的MME进行切换,UE所在的小区和基站并不发生变化。
保持单元,用于保持KeNB不变。
其中,保持单元获取当前eNB与UE之间共享的KeNB,并将该KeNB作为切换MME后的密钥KeNB*。
加密模块104,用于根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密。
具体地,加密模块104根据KeNB*计算第一密钥和第二密钥,并采用第一密钥和第二密钥对eNB与UE之间通信的数据进行加密和完整性保护。
其中,需要说明的是,如果该切换请求消息中携带第一{NCC,NH}对,eNB忽略第一{NCC,NH}对,并保持KeNB不变。
进一步地,该装置还包括:
确定模块,用于根据所述切换触发消息确定出切换原因是核心网触发的切换;
第一发送模块,用于发送切换需要消息给第一MME,该切换需要消息携带切换原因,使第一MME发送向前重定位请求消息给第二MME,该向前重定位请求消息携带切换原因,以使第二MME发送该切换请求消息给eNB。
具体地,第一接收模块101接收到第一MME发送的切换触发消息后,确定模块根据切换触发消息确定出切换原因是核心网触发的切换,第一发送模块发送切换需要消息给第一MME,该切换需要消息携带切换原因;第一MME接收第一发送模块发送的切换需要消息,并发送向前重定位请求消息给第二MME,该向前重定位请求消息携带切换原因;第二MME接收第一MME发送的向前重定位请求消息,并发送切换请求消息给第二接收模块102。
其中,该向前重定位请求消息携带的切换原因用于通知第二MME此次切换为核心网触发的切换。该向前重定位请求消息中还可以携带Kasme和KSI(Key Set Identifier,密钥集标识),该Kasme和KSI用于推演非接入层NAS密钥。
进一步地,该切换请求消息可以不携带任何{NCC,NH}对信息;该切换请求消息也可以携带第一下一跳链计数器NCC和第一下一跳NH,第一NCC为第一MME根据第二NCC加一后得到的,第一NH为第一MME根据第二NH计算得到的,第二NCC为当前的NCC,第二NH为当前的NH;或者,该切换请求消息携带第二下一跳链计数器NCC和第二下一跳NH,第二NCC为当前的NCC,第二NH为当前的NH。
其中,第一MME接收到切换需要消息时,获取第二NCC和第二NH;第一MME根据第二NCC和第二NH计算第一NCC和第一NH时,该切换请求消息中携带第一NCC和第一NH,如果第一MME根据第二NCC和第二NH不计算第一NCC和第一NH时,该切换请求消息中携带第二NCC和第二NH。
进一步地,该切换请求消息中还可以携带切换原因。
其中,该向前重定位请求消息携带第一NCC和第一NH,第一NCC为第一MME根据第二NCC加一后得到的,第一NH为第一MME根据第二NH计算得到的,第二NCC为当前的NCC,第二NH为当前的NH;或者,该向前重定位请求消息携带第二NCC和第二NH,第二NCC为当前的NCC,第二NH为当前的NH。
进一步地,将UE所附着的MME由第一MME切换到第二MME之后,第二MME发送向前重定位响应消息给第一MME。
进一步地,当该切换请求消息中不携带任何{NCC,NH}对信息时,在eNB将UE所附着的MME由第一MME切换到第二MME之后,第二MME根据第二NCC加一得到第一NCC,根据第二NH计算得到第一NH,并发送路径改变消息给eNB,该路径改变消息携带第一{NCC,NH}对。eNB接收第二MME发送的路径改变消息,并获取第一{NCC,NH}对。
在本发明实施例中,eNB接收第一MME发送的切换触发消息以及接收第二MME发送的切换请求消息,根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,eNB获取当前与UE共享的KeNB,并将该KeNB作为切换MME后更新的密钥KeNB*,即保持eNB与UE之间的KeNB不变,并根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密,从而保证eNB侧与UE侧的KeNB同步。
实施例2
本发明实施例提供了一种加密数据的装置。参见图2,其中,该装置包括:
第二发送模块201,用于发送切换触发消息给演进型基站eNB,该切换触发消息携带用户设备UE的标识,使eNB根据该切换触发消息发送切换需要消息;
其中,第一MME从UE的签约信息中获知需要将UE从普通网络的第一MME切换到特定网络的第二MME时,获取UE的标识,第二发送模块201发送切换触发消息给第一接收模块101,该切换触发消息携带UE的标识。eNB接收第一MME发送的切换触发消息。
其中,UE的标识为任一可以标识UE的标识,在本发明实施例中,对UE的标识不做具体限定。例如,UE的标识为MME UE S1AP ID即MME在S1接口上唯一标识UE的标识或eNB UE S1AP ID即eNB在S1接口上唯一标识UE的标识等。第一MME为UE当前附着的MME。
其中,需要说明的是,在第一MME从UE的签约信息中获知需要将UE从普通网络的第一MME切换到特定网络的第二MME之前,UE向普通网络发起附着流程,并和网络侧的S-GW或者P-GW建立PDN连接。
第三接收模块202,用于接收eNB发送的该切换需要消息;
其中,eNB根据切换触发消息发送切换需要消息给第三接收模块202,第三接收模块202接收eNB发送的该切换需要消息。
获取模块,用于获取第二下一跳链计数器NCC和第二下一跳NH,第二NCC为当前的NCC,第二NH为当前的NH;
第三发送模块203,用于发送向前重定位请求消息给第二移动性管理实体MME,该向前重定位请求消息携带切换原因,使第二MME发送切换请求消息给eNB,以使eNB保持eNB与UE之间共享的密钥KeNB不变,并根据该KeNB对eNB与UE之间通信的数据进行加密。
进一步地,该切换请求消息携带第一NCC和第一NH,第一NCC为第一MME根据第二NCC加一后得到的,第一NH为第一MME根据第二NH计算得到的;或者,该切换请求消息携带第二NCC和第二NH。
进一步地,该切换请求消息中还可以携带切换原因。
其中,第三接收模块202接收eNB发送的切换需要消息,并根据切换需要消息中的切换原因确认该切换原因是由核心网触发的切换,获取第二{NCC,NH}对,根据第二{NCC,NH}对计算第一{NCC,NH}对,即将第二NCC加一得到第一NCC,以及根据第二NH计算第一NH。
其中,第二{NCC,NH}对为当前的{NCC,NH}对,或者旧的{NCC,NH}对,第二{NCC,NH}对包括第二NCC和第二NH;第一{NCC,NH}对为新鲜的{NCC,NH}对,第一{NCC,NH}对包括第一NCC和第一NH。
其中,第二NCC为当前的NCC;第二NH为当前的NH。
进一步地,第一MME发送向前重定位请求消息给第二MME,该向前重定位请求消息携带切换原因和第一{NCC,NH}对,或者,该向前重定位请求消息携带切换原因和第二{NCC,NH}对。第二MME接收第一MME发送的向前重定位请求消息,并发送切换请求消息给eNB。
其中,该向前重定位请求消息携带的切换原因用于通知第二MME此次切换为核心网触发的切换。该向前重定位请求消息中还可以携带Kasme和KSI,该Kasme和KSI用于推演非接入层NAS密钥。
其中,第二MME接收第一MME发送的向前重定位请求消息,根据该向前重定位请求消息中的切换原因确定是核心网触发的切换,第二MME发送给eNB的切换请求消息中不携带任何{NCC,NH}对信息;或者,如果向前重定位请求消息中携带第一{NCC,NH}对时,第二MME接收第一MME发送的向前重定位请求消息,第二MME根据向前重定位请求消息中的切换原因确定是核心网触发的切换并从该向前重定位请求消息中获取第一{NCC,NH}对,第二MME发送给eNB的切换请求消息中携带第一{NCC,NH}对;或者,如果向前重定位请求消息中携带第二{NCC,NH}对时,第二MME接收第一MME发送的向前定位请求消息,第二MME根据向前重定位请求消息中的切换原因确定是核心网触发的切换并从该向前重定位请求消息中获取第二{NCC,NH}对,第二MME发送给eNB的切换请求消息中携带第二{NCC,NH}对。
其中,第二MME为除第一MME之外的任一MME,在本发明实施例中,对第二MME不作具体限定,例如,第二MME为某个特定MME。
进一步地,eNB接收第二MME发送的切换请求消息,并发送切换确认消息给第二MME;eNB保持eNB与UE之间共享的密钥KeNB不变,并根据该KeNB对eNB与UE之间通信的数据进行加密。
具体地,eNB根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,获取当前eNB与UE之间共享的KeNB,并将该KeNB作为切换MME后的密钥KeNB*;eNB根据KeNB*计算第一密钥和第二密钥,并采用第一密钥和第二密钥对eNB与UE之间通信的数据进行加密和完整性保护。
其中,该切换确认消息用于通知第二MME可以进行此次切换。
其中,需要说明的是,如果该切换请求消息中携带第一{NCC,NH}对,eNB忽略第一{NCC,NH}对,并保持KeNB不变。
进一步地,第二MME发送向前重定位响应消息给第一MME。
进一步地,当该切换请求消息中不携带任何{NCC,NH}对信息时,在eNB将UE所附着的MME由第一MME切换到第二MME之后,第二MME根据第二NCC加一得到第一NCC,根据第二NH计算得到第一NH,并发送路径改变消息给eNB,该路径改变消息携带第一{NCC,NH}对。eNB接收第二MME发送的路径改变消息,并获取第一{NCC,NH}对。
进一步地,该装置还包括:
第一携带模块,用于将该向前重定位请求消息的下一跳指示NHI设置为预设标识,并携带第二NCC和第二NH,或者,
第二携带模块,用于将向前重定位请求消息的旧演进分组系统EPS安全上下文的下一跳指示NHI_old设置为预设标识,并携带第二NCC和第二HN。
在本发明实施例中,eNB接收第一MME发送的切换触发消息以及接收第二MME发送的切换请求消息,根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,eNB获取当前与UE共享的KeNB,并将该KeNB作为切换MME后更新的密钥KeNB*,即保持eNB与UE之间的KeNB不变,并根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密,从而保证eNB侧与UE侧的KeNB同步。
实施例3
本发明实施例提供了一种加密数据的方法。参见图3,其中,该方法包括:
步骤301:接收第一MME发送的切换触发消息,该切换触发消息携带UE的标识;
步骤302:接收第二MME发送的切换请求消息;
步骤303:保持eNB与UE之间共享的密钥KeNB不变,并根据该KeNB对eNB与UE之间通信的数据进行加密。
在本发明实施例中,eNB接收第一MME发送的切换触发消息以及接收第二MME发送的切换请求消息,根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,eNB获取当前与UE共享的KeNB,并将该KeNB作为切换MME后更新的密钥KeNB*,即保持eNB与UE之间的KeNB不变,并根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密,从而保证eNB侧与UE侧的KeNB同步。
实施例4
本发明实施例提供了一种加密数据的方法。参见图4,其中,该方法包括:
步骤401:第一MME发送切换触发消息给eNB,该切换触发消息携带UE的标识;
具体地,第一MME从UE的签约信息中获知需要将UE从普通网络的第一MME切换到特定网络的第二MME时,获取UE的标识,并发送切换触发消息给eNB,该切换触发消息携带UE的标识。
其中,UE的标识为任一可以标识UE的标识,在本发明实施例中,对UE的标识不做具体限定。例如,UE的标识为MME UE S1AP ID即MME在S1接口上唯一标识UE的标识或eNB UE S1AP ID即eNB在S1接口上唯一标识UE的标识等。第一MME为UE当前附着的MME。
其中,需要说明的是,在步骤401之前,UE向普通网络发起附着流程并和网络侧的S-GW或者P-GW建立PDN连接。
步骤402:eNB接收第一MME发送的切换触发消息,并根据该切换触发消息确定出切换原因是核心网触发的切换;
其中,由于该切换触发消息是第一MME发送的,eNB根据第一MME发送的切换触发消息可以确定出此次切换原因为核心网触发的切换;核心网触发的切换只是将UE所附着的MME进行切换,UE所在的小区和基站并不发生变化。
步骤403:eNB发送切换需要消息给第一MME,该切换需要消息携带切换原因;
步骤404:第一MME接收eNB发送的切换需要消息,根据切换需要消息计算第一NCC和第一NH;
具体地,第一MME接收eNB发送的切换需要消息,并根据切换需要消息确认该切换原因是由核心网触发的切换,获取第二{NCC,NH}对,根据第二{NCC,NH}对计算第一{NCC,NH}对,即将第二NCC加一得到第一NCC,以及根据第二NH计算第一NH。
其中,第二{NCC,NH}对为当前的{NCC,NH}对,或者旧的{NCC,NH}对,第二{NCC,NH}对包括第二NCC和第二NH;第一{NCC,NH}对为新鲜的{NCC,NH}对,第一{NCC,NH}对包括第一NCC和第一NH。
其中,第二NCC为当前的NCC;第二NH为当前的NH。
步骤405:第一MME发送向前重定位请求消息给第二MME,该向前重定位请求消息携带切换原因和第一{NCC,NH}对;
其中,该向前重定位请求消息携带的切换原因用于通知第二MME此次切换为核心网触发的切换。
进一步地,该向前重定位请求消息中还可以携带Kasme和KSI(Key Set Identifier,密钥集标识),该Kasme和KSI用于推演非接入层NAS密钥。
其中,第二MME为除第一MME之外的任一MME,在本发明实施例中,对第二MME不作具体限定,例如,第二MME为某个特定MME。
步骤406:第二MME接收第一MME发送的向前重定位请求消息,并发送切换请求消息给eNB;
具体地,第二MME接收第一MME发送的向前重定位请求消息,根据该向前重定位请求消息中的切换原因确定是核心网触发的切换,第二MME发送给eNB的切换请求消息中不携带任何{NCC,NH}对信息;或者,第二MME接收第一MME发送的向前重定位请求消息,第二MME根据向前重定位请求消息中的切换原因是核心网触发的切换并从该向前重定位请求消息中获取第一{NCC,NH}对,第二MME发送给eNB的切换请求消息中携带第一{NCC,NH}对。
进一步地,该切换请求消息中还可以携带切换原因。
步骤407:eNB接收第二MME发送的切换请求消息,并发送切换确认消息给第二MME;
其中,该切换确认消息用于通知第二MME可以进行此次切换。
步骤408:eNB保持eNB与UE之间共享的密钥KeNB不变,并根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密;
具体地,eNB根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,获取当前eNB与UE之间共享的KeNB,并将该KeNB作为切换MME后的密钥KeNB*;eNB根据KeNB*计算第一密钥和第二密钥,并采用第一密钥和第二密钥对eNB与UE之间通信的数据进行加密和完整性保护。
其中,需要说明的是,如果该切换请求消息中携带第一{NCC,NH}对,eNB忽略第一{NCC,NH}对,并保持KeNB不变。
步骤409:第二MME发送向前重定位响应消息给第一MME。
进一步地,当该切换请求消息中不携带第一{NCC,NH}对时,在eNB将UE所附着的MME由第一MME切换到第二MME之后,第二MME发送路径改变消息给eNB,该路径改变消息携带第一{NCC,NH}对。eNB接收第二MME发送的路径改变消息,并获取第一{NCC,NH}对。
在本发明实施例中,eNB接收第一MME发送的切换触发消息以及接收第二MME发送的切换请求消息,根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,eNB获取当前与UE共享的KeNB,并将该KeNB作为切换MME后更新的密钥KeNB*,即保持eNB与UE之间的KeNB不变,并根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密,从而保证eNB侧与UE侧的KeNB同步。
实施例5
本发明实施例提供了一种加密数据的方法。参见图5,其中,该方法包括:
步骤501:发送切换触发消息给eNB,该切换触发消息携带UE的标识,使eNB根据该切换触发消息发送切换需要消息给第一MME;
步骤502:接收eNB发送的该切换需要消息,并获取第二NCC和第二NH,第二NCC为当前的NCC,第二NH为当前的NH;
步骤503:发送向前重定位请求消息给第二MME,该向前重定位请求消息携带切换原因,使第二MME发送切换请求消息给eNB,以使eNB保持eNB与UE之间共享的密钥KeNB不变,并根据KeNB对eNB与UE之间通信的数据进行加密。
在本发明实施例中,eNB接收第一MME发送的切换触发消息以及接收第二MME发送的切换请求消息,根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,eNB获取当前与UE共享的KeNB,并将该KeNB作为切换MME后更新的密钥KeNB*,即保持eNB与UE之间的KeNB不变,并根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密,从而保证eNB侧与UE侧的KeNB同步。
实施例6
本发明实施例提供了一种加密数据的方法。参见图6,其中,该方法包括:
步骤601:第一MME发送切换触发消息给eNB,该切换触发消息携带UE的标识;
具体地,第一MME从UE的签约信息中获知需要将UE从普通网络的第一MME切换到特定网络的第二MME时,获取UE的标识,并发送切换触发消息给eNB,该切换触发消息携带UE的标识。
其中,UE的标识为任一可以标识UE的标识,在本发明实施例中,对UE的标识不做具体限定。例如,UE的标识为MME UE S1AP ID即MME在S1接口上唯一标识UE的标识或eNB UE S1AP ID即eNB在S1接口上唯一标识UE的标识等。第一MME为UE当前附着的MME。
其中,需要说明的是,在步骤601之前,UE向普通网络发起附着流程,并和网络侧的S-GW或者P-GW建立PDN连接。
步骤602:eNB接收第一MME发送的切换触发消息,并根据该切换触发消息确定出切换原因是核心网触发的切换;
其中,由于该切换触发消息是第一MME发送的,eNB根据第一MME发送的切换触发消息可以确定出此次切换原因为核心网触发的切换;核心网触发的切换只是将UE所附着的MME进行切换,UE所在的小区和基站并不发生变化。
步骤603:eNB发送切换需要消息给第一MME,该切换需要消息携带切换原因;
其中,该切换原因用于指示将UE所附着的MME进行切换,并且,切换原因可以为任一指示消息,在本发明实施例中对切换原因不作具体限定,例如,切换原因可以是切换原因(核心网触发的切换)。
步骤604:第一MME接收eNB发送的切换需要消息,根据切换需要消息发送向前重定位请求消息给第二MME;
具体地,第一MME接收eNB发送的切换需要消息,并根据切换需要消息中的切换原因确定是由核心网触发的切换,向第二MME发送向前重定位请求消息,该向前重定位请求消息携带切换原因、第二{NCC,NH}对;
其中,第二{NCC,NH}对为当前的{NCC,NH}对,或者旧的{NCC,NH}对,第二{NCC,NH}对包括第二NCC和第二NH;第二NCC为当前的NCC;第二NH为当前的NH。
其中,该向前重定位请求消息携带的切换原因用于通知第二MME此次切换为核心网触发的切换。
进一步地,该向前重定位请求消息中还可以携带Kasme和KSI,该Kasme和KSI用于推演非接入层NAS密钥。
其中,第二MME为除第一MME之外的任一MME,在本发明实施例中,对第二MME不作具体限定,例如,第二MME为某个特定MME。
步骤605:第二MME接收第一MME发送的向前重定位请求消息,并发送切换请求消息给eNB;
具体地,第二MME接收第一MME发送的向前重定位请求消息,根据该向前重定位请求消息中的切换原因确定是核心网触发的切换,第二MME发送给eNB的切换请求消息中不携带任何{NCC,NH}对信息;或者,第二MME接收第一MME发送的向前重定位请求消息,第二MME根据向前重定位请求消息中的切换原因确定是核心网触发的切换并从该向前重定位请求消息中获取第二{NCC,NH}对,第二MME发送给eNB的切换请求消息中携带第二{NCC,NH}对。
进一步地,该切换请求消息中还可以携带切换原因。
其中,将该向前重定位请求消息的NHI(Next Hop Indicator,下一跳指示)设置为预设标识,并携带第二NCC和第二NH,或者,将该向前重定位请求消息的NHI_old(Next Hop Indicator for old EPS(Evolved Packet System,演进分组系统)Security Context,旧EPS安全上下文的下一跳指示)设置为预设标识,并携带第二NCC和所述第二HN。
其中,该预设标识为任一可以标识NHI或者NHI_old的标识,在本发明实施例中,对预设标识不作具体限定,例如预设标识为1。
步骤606:eNB接收第二MME发送的切换请求消息,并发送切换确认消息给第二MME;
其中,该切换确认消息用于通知第二MME可以进行此次切换。
步骤607:eNB保持eNB与UE之间共享的密钥KeNB不变,并根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密;
具体地,eNB根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,获取当前eNB与UE之间共享的KeNB,并将该KeNB作为切换MME后的密钥KeNB*;eNB根据KeNB*计算第一密钥和第二密钥,并采用第一密钥和第二密钥对eNB与UE之间通信的数据进行加密和完整性保护。
其中,需要说明的是,如果该切换请求消息中携带第二{NCC,NH}对,eNB忽略第二{NCC,NH}对,并保持KeNB不变。
步骤608:第二MME发送向前重定位响应消息给第一MME。
进一步地,在eNB将UE所附着的MME由第一MME切换到第二MME之后,第二MME根据第二{NCC,NH}对计算第一{NCC,NH}对,第二MME发送路径改变消息给eNB,该路径改变消息携带第一{NCC,NH}对。eNB接收第二MME发送的路径改变消息,并获取第一{NCC,NH}对。
其中,第二MME将第二NCC加一得到第一NCC,以及根据第二NH计算第一NH,第二{NCC,NH}对为当前的{NCC,NH}对,第二{NCC,NH}对包括第二NCC和第二NH;第一{NCC,NH}对为新鲜的{NCC,NH}对,第一{NCC,NH}对包括第一NCC和第一NH。
在本发明实施例中,eNB接收第一MME发送的切换触发消息以及接收第二MME发送的切换请求消息,根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,eNB获取当前与UE共享的KeNB,并将该KeNB作为切换MME后更新的密钥KeNB*,即保持eNB与UE之间的KeNB不变,并根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密,从而保证eNB侧与UE侧的KeNB同步。
实施例7
本发明实施例提供了一种加密数据的装置。参见图7,其中,该装置包括:第一存储器701和第一处理器702,用于执行以下加密数据的方法:
接收第一移动性管理实体MME发送的切换触发消息,该切换触发消息携带用户设备UE的标识;
接收第二MME发送的切换请求消息;
保持演进型基站eNB与UE之间共享的密钥KeNB不变,并根据该KeNB对eNB与UE之间通信的数据进行加密。
进一步地,接收第一移动性管理实体MME发送的切换触发消息之后,该方法还包括:
根据所述切换触发消息确定出切换原因是核心网触发的切换;
发送切换需要消息给所述第一MME,所述切换需要消息携带所述切换原因,使所述第一MME发送向前重定位请求消息给所述第二MME,所述向前重定位请求消息携带所述切换原因,以使所述第二MME发送所述切换请求消息给所述eNB。
进一步地,该切换请求消息携带第一下一跳链计数器NCC和第一下一跳NH,第一NCC为第一MME根据第二NCC加一后得到的,第一NH为第一MME根据第二NH计算得到的,第二NCC为当前的NCC,第二NH为当前的NH;或者,
该切换请求消息携带第二下一跳链计数器NCC和第二下一跳NH,第二NCC为当前的NCC,第二NH为当前的NH。
进一步地,所述向前重定位请求消息携带第一下一跳链计数器NCC和第一下一跳NH,所述第一NCC为所述第一MME根据第二NCC加一后得到的,所述第一NH为所述第一MME根据第二NH计算得到的,所述第二NCC为当前的NCC,所述第二NH为当前的NH;或者,
所述向前重定位请求携带第二下一跳链计数器NCC和第二下一跳NH,所述第二NCC为当前的NCC,所述第二NH为当前的NH。
进一步地,保持演进型基站eNB与UE之间共享的密钥KeNB不变,包括:
根据该切换触发消息或者该切换请求消息确定切换原因是核心网触发的切换,保持该KeNB不变。
在本发明实施例中,eNB接收第一MME发送的切换触发消息以及接收第二MME发送的切换请求消息,根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,eNB获取当前与UE共享的KeNB,并将该KeNB作为切换MME后更新的密钥KeNB*,即保持eNB与UE之间的KeNB不变,并根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密,从而保证eNB侧与UE侧的KeNB同步。
实施例8
本发明实施例提供了一种加密数据的装置。参见图8,其中,该装置包括:第二存储器801和第二处理器802,用于执行以下加密数据的方法:
发送切换触发消息给演进型基站eNB,该切换触发消息携带用户设备UE的标识,使eNB根据该切换触发消息发送切换需要消息给第一移动性管理实体MME;
接收eNB发送的该切换需要消息,并获取第二下一跳链计数器NCC和第二下一跳NH,第二NCC为当前的NCC,第二NH为当前的NH;
发送向前重定位请求消息给第二MME,该向前重定位请求消息携带切换原因,使第二MME发送切换请求消息给eNB,以使eNB保持eNB与UE之间共享的密钥KeNB不变,并根据该KeNB对eNB与UE之间通信的数据进行加密。
进一步地,该切换请求消息携带第一NCC和第一NH,第一NCC为第一MME根据第二NCC加一后得到的,第一NH为第一MME根据第二NH计算得到的;或者,
该切换请求消息携带第二NCC和第二NH。
进一步地,向前重定位请求消息携带第一NCC和第一NH,第一NCC为第一MME根据第二NCC加一后得到的,第一NH为第一MME根据第二NH计算得到的;或者,
向前重定位请求消息携带第二NCC和第二NH。
进一步地,发送向前重定位请求消息给第二移动性管理实体MME之前,该方法还包括:
将该向前重定位请求消息的下一跳指示NHI设置为预设标识,并携带第二NCC和第二NH,或者,
将该向前重定位请求消息的旧演进分组系统EPS安全上下文的下一跳指示NHI_old设置为预设标识,并携带第二NCC和第二HN。
在本发明实施例中,eNB接收第一MME发送的切换触发消息以及接收第二MME发送的切换请求消息,根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换,eNB获取当前与UE共享的KeNB,并将该KeNB作为切换MME后更新的密钥KeNB*,即保持eNB与UE之间的KeNB不变,并根据该KeNB或KeNB*对eNB与UE之间通信的数据进行加密,从而保证eNB侧与UE侧的KeNB同步。
领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!