安全模式激活方法、装置、系统和计算机存储介质与流程

本发明涉及移动通信技术，特别涉及一种用于多连接技术中的安全模式激活方法、装置、系统和计算机存储介质。

背景技术：

在lte(longtermevolution，长期演进)以及5g网络中，多连接技术被视作提高连接鲁棒性和可靠性的一种重要技术手段。在多连接技术中，ue(userequiment，用户设备)通过与多个基站同时保持连接和进行通信来提升吞吐量和移动健壮性。

如图1所示，ue同时与宏基站enb(e-utrannodeb，接入网基站，作为主基站)和微基站senb(secondaryenb，辅基站、次基站或称二级基站)保持无线连接。在lte的双连接中，ue与宏基站enb之间的连接为主连接，包含控制面(cp)和用户面(up)消息传输，ue与微基站senb之间的连接为第二连接，只包含用户面消息传输，因此第二连接的移动性依赖于主连接，即主连接发生rlf(radiolinkfailure，无线链路失败)时，第二连接也会自动断开，ue进行重建或进入空闲态。在5g讨论中，微基站senb也可以拥有传输控制面数据的能力，这使得ue能够以更加独立的形式建立与微基站senb之间的通信，这就要求ue与微基站senb之间也是相对独立的连接，不再依赖于主连接而存在。这种独立性也导致了两个连接安全的独立，也就是独立的安全模式激活过程，独立的安全密钥和加密以及鉴权过程等等。

在现有lte系统中，采用安全模式控制过程来保护ue和网络间的信令信息的安全、完整性。当rrc连接建立完成后，网络可以通过发起安全模式控制过程来为所有的信令无线承载启动完整性保护或者更新完整性保护配置。现有的安全模式控制(smc)流程(或称安全模式激活过程)如图2所示(参见ts36.331ch5.3.4)，用于激活ue和网络侧间信息的安全交互，网络侧(eutran)在连接建立完成后向ue发送安全模式命令(securitymodecommand)，从而启动控制面和用户面下行消息的加密功能。然后，ue在接收到安全模式命令后，启动控制面消息完整性保护，以及控制面和用户面消息的下行消息解密。接着，ue向eutran网络侧返回经过完整性保护的安全模式完成(securitymodecomplete)消息。smc流程包括非接入层(nas)的smc和接入层(as)的smc

安全模式激活流程主要是为了通知ue加密和完整性保护算法，来保证ue和网络侧使用相同的安全算法对数据进行加密和完整性保护操作。不同基站由于运营商配置的算法优先级不同，以及基站的安全能力的区别，可能采用不同的算法id，因此对于双连接或多连接的ue来说，不同的基站可能配置不同的算法id给ue。按照现有机制，接入层的双连接或多连接的安全模式激活流程如图3所示，包括如下步骤：

步骤1：ue与enb建立主连接。

步骤2：ue与enb建立主连接后，enb启动安全模式的激活，即，enb向ue发送安全模式命令(或称安全激活命令)，该安全模式命令中包含enb的安全算法id。

步骤3：ue在接收到安全模式命令后，进行enb的安全算法id到安全密钥kenb的映射，并向enb发送安全模式完成消息(或称安全激活完成消息)。其中，kenb是ue与enb通过鉴权过程生成的共享安全密钥，ue中存有kenb。

ue使用其与enb间的安全密钥kenb和接收到安全模式命令中包含的enb的安全算法id，在ue和enb之间进行加密和完整性保护操作。

步骤4：ue与senb建立第二连接。

步骤5：ue与senb建立第二连接后，senb启动安全模式的激活，即，senb向ue发送安全模式命令，该安全模式命令包含senb的安全算法id。

步骤6：ue在接收到来自senb的安全模式命令后，进行senb的安全算法id到安全密钥ksenb的映射，并向senb发送安全模式完成消息。其中，ksenb是ue与senb通过鉴权过程生成的共享安全密钥，ue中存有ksenb。

ue使用其与senb间的安全密钥s-kenb和接收到安全模式命令中包含的senb的安全算法id，在ue和senb之间进行加密和完整性保护。

上述可知，enb和senb分别与ue之间进行安全模式激活的操作，当ue处于多连接状态时，连接到多个基站，就会产生大量并行的安全模式激活流程，不仅浪费空口资源，也需要一定的时间，从而限制了ue发送数据的速度和效率。

技术实现要素：

有鉴于此，本发明的目的在于提供一种用于多连接技术中的安全模式激活方法、装置、系统和计算机存储介质，以克服现有技术中的一个或多个缺陷。

根据本发明的一个方面，提供一种用于多连接技术中的安全模式激活方法，所述方法包括以下步骤：

主基站进行与辅基站的安全算法能力互通，获得所述辅基站的至少一个安全算法id；

所述主基站与用户设备建立主连接；

所述主基站向所述用户设备发送安全模式命令，所述安全模式命令中包括所述主基站的安全算法id和基于所述辅基站的至少一个安全算法id确定的所述辅基站的安全算法id，以使得所述用户设备能够分别利用主基站和辅基站各自的安全算法id和相应的安全密钥，分别进行用户设备与主基站和辅基站间的加密和完整性保护操作。

在本发明的优选实施例中，所述安全算法能力的互通包括主基站接收辅基站通知的至少一个安全算法id以及安全算法的优先级选择策略，所述主基站基于辅基站通知的至少一个安全算法id以及安全算法的优先级选择策略确定辅基站的安全算法id。

在本发明的优选实施例中，所述主基站基于辅基站通知的至少一个安全算法id、安全算法的优先级选择策略以及用户设备的能力确定辅基站的安全算法id。

在本发明的优选实施例中，所述方法还包括以下步骤：主基站接收来自用户设备的安全模式完成消息；以及主基站向辅基站发送安全算法id选择结果以及用户设备的id。

在本发明的优选实施例中，所述方法还包括以下步骤：在辅基站与用户设备建立第二连接后，使用基于辅基站的安全算法id和用户设备与辅基站之间的安全密钥生成的加密密钥传输加密的数据和信令。

相应地，根据本发明的另一方面，提供了一种基站，该基站包括存储器和处理器，所述存储器中存储有计算机程序，在该计算机程序在处理器中被执行时可实现如上所述的安全模式激活方法的步骤。

根据本发明的另一个方面，提供一种用于多连接技术中的安全模式激活方法，该方法包括以下步骤：用户设备与主基站建立主连接后，接收来自主基站的安全模式命令，该安全模式命令中包括所述主基站的安全算法id和辅基站的安全算法id；以及所述用户设备利用主基站和辅基站各自的安全算法id和相应的安全密钥，分别进行用户设备与主基站和辅基站间的加密和完整性保护操作。

在本发明的优选实施例中，所述方法还包括如下步骤：所述用户设备与所述辅基站建立第二连接后，所述用户设备与所述辅基站之间使用基于所述辅基站的安全算法id和用户设备与所述辅基站之间的安全密钥生成的加密密钥传输加密的数据和信令。

在本发明的优选实施例中，所述方法还包括以下步骤：所述用户设备向所述主基站发送安全模式完成消息。

在本发明的优选实施例中，所述分别进行用户设备与主基站和辅基站间的加密和完整性保护操作的步骤包括：所述用户设备接收到所述主基站的安全算法id和所述辅基站的安全算法id之后，进行各安全算法id到安全秘钥的映射；利用主基站的安全算法id和对应的安全秘钥生成所述用户设备与所述主基站间控制面信令的加密秘钥和安全性保护秘钥以及所述用户设备与所述主基站间用户面数据的加密秘钥；以及利用辅基站的安全算法id和对应的安全秘钥生成所述用户设备与所述辅基站间控制面信令的加密秘钥和安全性保护秘钥以及所述用户设备与所述辅基站间用户面数据的加密秘钥。

相应地，根据本发明的另一方面，提供了一种用户设备，该用户包括存储器和处理器，所述存储器中存储有计算机程序，在该计算机程序在处理器中被执行时可实现如前所述的用户设备执行的安全模式激活方法的步骤。

根据本发明的另一方面，提供了一种用于多连接技术中的安全模式激活系统，该系统包括：主基站和至少一个辅基站；所述主基站进行与辅基站的安全算法能力互通，获得辅基站的至少一个安全算法id；所述主基站与用户设备建立主连接后，向所述用户设备发送安全模式命令，所述安全模式命令中包括所述主基站的安全算法id和基于所述辅基站的至少一个安全算法id确定的所述辅基站的安全算法id；主基站向辅基站发送安全算法id选择结果以及用户设备的id；辅基站在与用户设备建立第二连接后，使用基于辅基站的安全算法id和用户设备与辅基站之间的安全密钥生成的加密密钥传输加密的数据和信令。

相应地，本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，该计算机程序被处理器执行时实现如前所述的用于多连接技术中的安全模式激活方法的步骤。

本发明实施例中，多连接模式下主基站可以代理其他基站进行安全模式激活，由主基站预先获取其他基站(辅基站)的安全算法id，并进行其他基站的安全算法的选择(确定)，从而为ue配置多个基站的安全算法id，让ue通过一次安全模式就可以激活与多个基站之间的安全流程，节省了空口信令和资源，同时ue能够直接发送加密过的数据给其他基站，加快了ue发送数据的速度和效率。

本领域技术人员应当理解的是，能够用本发明实现的目的和优点不限于以上具体所述，并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。

并且，应当理解，前述大体的描述和后续详尽的描述均为示例性说明和解释，并不应当用作对本发明所要求保护内容的限制。

附图说明

参考随附的附图，本发明更多的目的、功能和优点将通过本发明实施方式的如下描述得以阐明，其中：

图1为现有lte和5g网络中的多连接技术的结构示意图。

图2为lte系统中的安全模式激活流程图。

图3为现有多连接技术中的接入层的安全模式激活流程图。

图4为本发明一实施例的多连接技术中的安全模式激活的流程示意图。

具体实施方式

下面将参照附图更详细地描述本发明的优选实施方式。虽然附图中显示了本发明的优选实施方式，然而应该理解，可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了使本发明更加透彻和完整，并且能够将本发明的范围完整地传达给本领域的技术人员。

应当注意，为了清楚的目的，附图和说明中省略了与本发明无关的、本领域普通技术人员已知的部件和处理的表示和描述。

针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用，与其它实施方式中的特征相组合，或替代其它实施方式中的特征。

应该强调，术语“包括/包含”在本文使用时指特征、要素、步骤或组件的存在，但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。

在本发明实施例中，在ue与多个基站连接时，由主基站代理其他所有基站进行统一的安全模式激活，通过主基站在一个安全激活模式中完成多个安全激活流程，使得ue在其他基站中无需等待安全激活流程，而是可以直接发送加密过的数据，不再需要单独的安全模式激活，从而节省空口的信令和资源，同时也加快ue与其他基站的安全激活速度和数据发送速度。

图4示出了本发明的示例性实施例的多连接技术中的安全模式激活流程示意图。如图4所示，本发明的示例性实施例的多连接技术中的安全模式激活过程包括以下步骤：

步骤11：主基站(enb)与辅基站(senb)进行安全算法能力的互通。

主基站例如是宏基站，辅基站例如可以是微基站，但本发明并不限于此。在该互通步骤中，enb和senb相互通知各自的安全算法能力，如彼此发送携带enb和senb各自安全算法id的算法能力指示消息，从而使得enb获知senb的安全算法能力id，senb也获知enb的安全算法能力id。

enb获知senb的安全算法能力id之后，可以在与ue建立主连接后，基于预先协商好的算法选择策略，考虑senb的安全算法id以及ue的安全能力，为senb进行安全算法选择。

在本发明另一实施例中，senb发送的算法能力指示消息中还可以携带算法选择的优先级策略，以使得enb可选择ue和senb都支持的安全算法id。

图4中虽然仅以双连接为例进行的说明，仅示出了两个基站互通，但本发明同样适用于ue与三个以上的基站进行连接的情况，在这种情况下，主基站enb可以与多个辅基站进行互通，以便为各个辅基站选择安全算法id。

步骤12：ue与enb建立第一连接(也称为主连接)。

建立主连接的过程可以与现有的建立主连接过程相同，在此不再赘述。

步骤13：enb向ue发送安全模式命令，进行安全模式的激活。

该安全模式命令中包括enb采用的安全算法id和senb采用的安全算法id。其中，senb的安全算法id是enb基于senb提供的至少一个安全算法id、算法选择策略以及ue的安全能力选择出来并配置给ue的。

在存在两个以上辅基站的情况下，enb可以在向ue发送的一个安全模式命令携带多个辅基站的安全算法id。

步骤14：enb将安全算法id选择结果以及ue的id通知各senb。

此外，ue在接收到安全模式命令之后，能够分别利用enb和senb各自的安全算法id和相应的安全密钥，分别进行用户设备与enb和senb间的加密和完整性保护操作。

具体地，ue接收到enb的安全算法id和senb的安全算法id之后，进行各安全算法id到安全秘钥的映射，即将enb的安全算法id映射到ue和enb之间的安全秘钥kenb，将senb的安全算法id映射到ue和senb之间的安全秘钥ksenb，其中，kenb和ksenb是ue与两个基站enb、senb通过鉴权过程生成的两套共享密钥，ue中存有kenb和ksenb，分别与enb和senb共享使用。

进一步地，ue利用enb和senb的安全算法id和对应的安全密钥分别生成各自的控制面信令(如rrc)的加密和完整性保护密钥，以及用户面(up)数据的加密密钥，分别对两个无线空口链路的数据进行安全操作。即，ue利用enb的安全算法id和对应的安全秘钥kenb生成ue和enb间控制面消息的加密秘钥和安全性保护秘钥以及ue和enb间用户面消息的加密秘钥，以对enb的无线空口链路的数据进行安全操作。同样，ue利用senb的安全算法id和对应的安全秘钥ksenb生成ue和senb间控制面消息的加密秘钥和安全性保护秘钥以及ue和senb间用户面消息的加密秘钥，以对senb的无线空口链路的数据进行安全操作。

步骤15：在激活完成后，ue向enb发送安全模式完成消息。

步骤16：ue与senb的连接建立完成后，无需等待安全模式激活过程，直接使用前面生成的加密密钥发送加密过的数据和信令，并且，senb接收到数据和信令后相应地使用同一套安全密钥和算法id对数据进行解密(基于ueid选择相应的密钥和安全算法id)。

上述可知，在本示例性实施例中，通过主基站在一个安全激活模式中完成多个安全激活流程，使得ue在其他基站中无需等待安全激活流程，而是可以直接发送加密过的数据，不再需要单独的安全模式激活，节省了空口的信令和资源，同时也加快了ue与其他基站的安全激活速度和数据发送速度。

相应地，本发明还提供一种实现上述的用于多连接技术中的安全模式激活方法的系统。该系统包主基站enb和至少一个其他基站(辅基站)senb。该系统中，enb进行与各个senb的安全算法能力互通，获得各senb的至少一个安全算法id。enb与ue建立主连接后，向ue发送安全模式命令，该安全模式命令中包括enb的安全算法id和enb选择的各senb的安全算法id，从而使得ue能够分别利用enb和senb各自的安全算法id和相应的安全密钥，分别进行ue与enb和senb间的加密和完整性保护操作。同时，enb向senb发送安全算法id选择结果以及用户设备的id。基于此，senb在与ue建立第二连接后，无需等待安全模式激活过程，便可使用基于senb的安全算法id和ue与senb之间的安全密钥生成的加密密钥传输加密的数据和信令。

相应的，本发明还提供了执行多连接技术中的安全模式激活方法的基站(enb)和用户设备(ue)。基站和用户设备中均包括存储器和处理器，其存储器中存储有计算机程序，在该计算机程序在处理器中被执行时可分别实现如图4中示出的由基站和用户设备执行的步骤。其中，在基站用作主基站时，执行图4中主基站enb的操作相关的步骤11至步骤14。在基站被作为辅基站时，其可以作为辅基站执行图4中辅基站senb的操作相关的步骤11和步骤16。

综上所述，本发明提供了的多连接模式下由主基站代理其他基站进行安全模式激活的方法和系统。在ue要与多个基站连接时，可由主基站(通常是宏基站)预先获取其他基站的算法id以及配置策略，并根据ue的安全能力进行算法选择，同时配置给ue多个基站的算法id。ue收到主基站和其他辅基站的安全算法id后，完成安全密钥和安全算法id的匹配，然后按照网络配置用相应的安全算法id生成相应的控制面和用户面安全密钥，直接向其他基站发送加密过的数据和信令，无需再进行安全激活。即本发明让ue通过一次安全激活就可以激活与多个基站之间的安全流程，节省了空口信令和资源，同时ue能够直接发送加密过的数据给其他基站，加快了ue发送数据的速度和效率。

本公开还涉及存储介质，其上可以存储有计算机程序代码，当程序代码被网络侧基站或用户设备侧执行时可以实现图4所示的由基站或用户设备执行的相应步骤，该存储介质可以是有形存储介质，诸如光盘、u盘、软盘、硬盘等。

本发明的各部分可以用硬件、软件、固件或者它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可以用本领域共知的下列技术中的任一项或者他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。

在流程图中表示或者在此以其它方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。

如上针对一个实施例描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施例中使用，和/或与其它实施例中的特征相结合或替代其它实施例中的特征使用。

结合这里披露的本发明的说明和实践，本发明的其他实施例对于本领域技术人员都是易于想到和理解的。说明和实施例仅被认为是示例性的，本发明的真正范围和主旨均由权利要求所限定。