一种安全密钥的更新方法及装置与流程

本发明涉及通信技术领域，尤其涉及一种安全密钥的更新方法及装置。

背景技术：

在多无线双连接模式(multi-radiodualconnectivity，mr-dc)中，一个终端设备可同时连接到两个基站，如主基站和辅基站；其中，主基站提供与终端设备的控制面连接，辅基站负责分担用户面数据的承载。

目前，通常是由辅基站被动要求主基站将与终端设备通信的安全密钥发送给辅基站，但若在辅基站发起要求获得安全密钥之前，主基站和终端设备侧所用安全密钥已发生更新，而辅基站仍在使用更新前的安全密钥和ue通信，则会由于安全密钥不一致产生通信异常。

技术实现要素：

本发明提供一种安全密钥的更新方法及装置，用以解决现有技术中存在的由于安全密钥不一致产生通信异常的问题。

第一方面，本发明实施例提供的一种安全密钥的更新方法，应用于辅基站，包括：

接收主基站在确定与终端设备通信的安全密钥更新时发送的更新请求消息；所述更新请求消息中携带更新指示和与终端设备通信的安全密钥，所述更新指示用于指示所述辅基站对所述安全密钥进行更新；

根据所述更新指示，将保存的与所述终端设备通信的安全密钥更新为所述更新请求消息中携带的安全密钥。

在一种可选的实现方式中，所述更新指示为分组数据汇聚协议pdcp变更指示。

第二方面，本发明实施例提供一种安全密钥的更新方法，应用于主基站，包括：

确定与终端设备通信的安全密钥更新；

向辅基站发送更新请求消息；所述更新请求消息中携带更新指示和与终端设备通信的安全密钥，所述更新指示用于指示所述辅基站对所述安全密钥进行更新。

在一种可选的实现方式中，所述更新指示为分组数据汇聚协议pdcp变更指示。

在一种可选的实现方式中，所述与终端设备通信的安全密钥是基于安全算法和基础密钥生成的；

所述确定与终端通信的安全密钥更新，包括：

当所述安全算法和/或所述基准密钥变更时，确定与终端设备通信的安全密钥更新。

第三方面，本发明实施例提供一种安全密钥的更新装置，应用于辅基站，包括：

接收模块，用于接收主基站在确定与终端设备通信的安全密钥更新时发送的更新请求消息；所述更新请求消息中携带更新指示和与终端设备通信的安全密钥，所述更新指示用于指示所述辅基站对所述安全密钥进行更新；

更新模块，用于根据所述更新指示，将保存的与所述终端设备通信的安全密钥更新为请求消息中携带的安全密钥。

在一种可选的实现方式中，所述更新指示为分组数据汇聚协议pdcp变更指示。

第四方面，本发明实施例提供一种安全密钥的更新装置，应用于主基站，包括：

确定模块，用于确定与终端设备通信的安全密钥更新；

发送模块，用于向辅基站发送更新请求消息；所述更新请求消息中携带更新指示和与终端设备通信的安全密钥，所述更新指示用于指示所述辅基站对所述安全密钥进行更新。

在一种可选的实现方式中，所述更新指示为分组数据汇聚协议pdcp变更指示。

在一种可选的实现方式中，所述与终端设备通信的安全密钥是基于安全算法和基础密钥生成的；所述确定模块，具体用于当所述安全算法和/或所述基准密钥变更时，确定与终端设备通信的安全密钥更新。

第三方面，本发明实施例提供一种接入网设备，包括：

存储器以及处理器；

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行第一方面的任一实现方式所述的方法或者第二方面的任一实现方式所述的方法。

第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，当所述计算机指令在计算机上运行时，使得计算机执行第一方面的任一实现方式所述的方法或者第二方面的任一实现方式所述的方法。

本发明实施例中，辅基站接收主基站在确定与终端设备通信的安全密钥更新时发送的更新请求消息；更新请求消息中携带用于指示辅基站对安全密钥进行更新的更新指示和与终端设备通信的安全密钥；根据更新指示，将保存的与终端设备通信的安全密钥更新为更新请求消息中携带的安全密钥。也即由主基站在确定与终端设备通信的安全密钥更新时主动通知辅基站同步更新其与终端设备通信的安全密钥，能够避免辅基站侧安全密钥更新不及时，而发生由于安全密钥不一致产生通信异常的情况。

附图说明

图1为本发明实施例提供的一种通信系统架构的结构示意图；

图2为本发明实施例提供的一种安全密钥的更新方法的流程示意图；

图3为本发明实施例提供的另一种安全密钥的更新方法的流程示意图；

图4为本发明实施例提供的一种交互流程示意图；

图5为本发明实施例提供的一种安全密钥的更新装置的结构框图；

图6为本发明实施例提供的另一种安全密钥的更新装置的结构框图；

图7为本发明实施例提供的一种安全密钥的更新装置的结构示意图。

具体实施方式

本发明实施例可以应用于4g系统，或者5g系统，或者未来产生的新系统。4g系统可以是长期演进(longtermevolution，lte)系统，5g系统可以是新空口(newradio，nr)系统。

图1示例一种通信系统架构，通信系统中包括基站和终端设备，如图1所示具体示意出了与终端设备通信的两个基站，即主基站和辅基站。

终端设备，又称之为终端、用户设备(userequipment，ue)、移动台(mobilestation，ms)、移动终端(mobileterminal，mt)等，是一种向用户提供语音和/或数据连通性的设备，例如，具有无线连接功能的手持式设备、车载设备等。目前，一些终端的举例为：手机(mobilephone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobileinternetdevice，mid)、可穿戴设备，虚拟现实(virtualreality，vr)设备、增强现实(augmentedreality，ar)设备、工业控制(industrialcontrol)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程手术(remotemedicalsurgery)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportationsafety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smarthome)中的无线终端等。

本发明实施例中涉及的基站还可以称为接入网设备或者接入节点(英文：accessnode，简称：an)，为终端设备提供无线接入服务。接入节点具体可以是lte系统中的演进型基站(英文：evolutionalnodeb，简称：enb或enodeb)，或者是5g网络中的基站设备(gnb)、小基站设备等，本发明对此并不限定。

需要说明的是，本发明中涉及的多个，是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。另外，应当理解，尽管在本发明实施例中可能采用术语第一、第二等来描述各数据、但这些数据不应限于这些术语。这些术语仅用来将各数据彼此区分开。

在第五代移动通信系统中，有两种组网模式，分别为独立组网模式(standalone，sa)和非独立组网(non-standalone，nsa)模式；这两种组网模式均支持一个终端设备同时连接到两个基站，并接受两个基站同时提供业务。这种连接方式的称为多无线双连接模式(multi-radiodualconnectivity，mr-dc)，在mr-dc模式包括的一种模式为nr双连接模式(nr-nrdualconnectivity，nr-dc)下，一个nr基站称为主基站，或也可称为主结点(masternode，mn/m-node)，另一个nr基站称为辅基站，或也可称为辅结点(secondarynode，sn/s-node)。其中，主基站提供与终端设备的控制面连接，辅基站负责分担用户面数据的承载。

目前，通常是由辅基站被动要求主基站将与终端设备通信的安全密钥发送给辅基站，但若在辅基站发起要求获得安全密钥之前，主基站和终端设备侧所用安全密钥已发生更新，而辅基站仍在使用更新前的安全密钥和ue通信，则会由于安全密钥不一致产生通信异常。

基于此，本发明实施例提供一种安全密钥的更新方法及装置，用以解决现有技术中存在的由于安全密钥不一致产生通信异常的问题。其中，方法和装置是基于同一发明构思的，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。

为便于理解，为便于对本实施例进行理解，首先对本发明实施例所公开的一种安全密钥更新方法进行详细介绍。

参见图2，本发明实施例提供一种安全密钥的更新方法，应用于辅基站，包括：

步骤s201，接收主基站在确定与终端设备通信的安全密钥更新时发送的更新请求消息；更新请求消息中携带更新指示和与终端设备通信的安全密钥，更新指示用于指示所述辅基站对所述安全密钥进行更新；

步骤s202，根据更新指示，将保存的与终端设备通信的安全密钥更新为更新请求消息中携带的安全密钥。

本实施例中，辅基站接收主基站在确定与终端设备通信的安全密钥更新时主动发送的更新请求消息，根据更新请求消息中的更新指示更新安全密钥。无需辅基站要求主基站来被动获取安全密钥，能够避免辅基站侧安全密钥更新不及时，而发生由于安全密钥不一致产生通信异常的情况。

在一种可选的实施方式中，主基站和辅基站均可支持多个小区，辅基站与终端设备通信的安全密钥可配置于终端设备当前所处的辅基站下的目标小区中。上述更新请求消息中还携带终端设备的标识，辅基站更新安全密钥，具体还可按照如下方式实施：根据更新请求消息中携带的终端设备的标识，确定出该终端设备当前所处的辅基站下的目标小区，将目标小区中配置的安全密钥更新为更新请求中携带的安全密钥。

在另一种可选的实施方式中，也可为辅基站支持的多个小区配置统一的安全密钥，以多个小区中的某一小区设为主小区，其它小区设为辅小区为例，辅基站更新安全密钥，可具体通过其所支持的主小区，也即主辅助小区(primarycellofasecondarycellgroup，pscell)的变更流程来实现，具体的，基于更新请求消息中携带的安全密钥以及pscell变更流程(pscellchange)，实现pscell的安全密钥变更，从而完成上述将保存的与终端设备通信的安全密钥更新为更新请求消息中携带的安全密钥的流程。

进一步，在一种可选的实施方式中，上述更新请求消息为主基站向辅基站发送的s-node修改请求消息(s-nodemodificationrequest)；更新请求消息中所携带的更新指示为分组数据汇聚协议(packetdataconvergenceprotocol，pdcp)变更指示(changeindication)。

本实施例中pdcp变更指示为主基站发起的指示，用于指示主基站发起请求更新辅基站中的安全密钥。具体的，该pdcp变更指示的指示类型为：来自m-ng-ran结点(fromm-ng-rannode)；从m-ng-ran结点到s-ng-ran结点指示(indicationfromm-ng-rannodetos-ng-rannode)中包括s-ng-ran结点安全密钥更新请求(s-ng-rannodekeyupdaterequest)；其中，m-ng-rannode表示上述主基站，s-ng-rannode表示上述辅基站。

基于此，辅基站在接收到s-node修改请求消息时，获取其中携带的pdcp变更指示，在确定pdcp变更指示的指示内容包括辅基站安全密钥更新请求时，将s-node修改请求消息中携带的安全密钥配置给底层的pdcp模块，以使pdcp模块使用s-node修改请求消息中携带的安全密钥对后续的控制面和数据面数据进行加密处理，也即实现根据更新指示，将保存的与终端设备通信的安全密钥更新为更新请求消息中携带的安全密钥。

进一步，在一种可选的实施方式中，辅基站在成功更新安全密钥之后，还可响应于更新请求消息，向主基站发送用于指示安全密钥更新成功的更新应答消息，例如向主基站发送s-node修改请求应答消息(s-nodemodificationrequestacknowledge)。

对应的，参见图3，本发明实施例还提供一种安全密钥的更新方法，应用于主基站，包括：

步骤s301，确定与终端设备通信的安全密钥更新；

步骤s302，向辅基站发送更新请求消息；更新请求消息中携带更新指示和与终端设备通信的安全密钥，更新指示用于指示辅基站对安全密钥进行更新。

本实施例中，主基站在确定与终端设备通信的安全密钥更新时主动向辅基站发送更新请求消息，以指示辅基站对安全密钥进行更新。而不是辅基站的要求下发送更新后的安全密钥，能够避免辅基站侧安全密钥更新不及时，而发生由于安全密钥不一致产生通信异常的情况。

在一种可选的实施方式中，与终端设备通信的安全密钥是基于安全算法和基础密钥生成的；其中，基础密钥可以是与主基站关联的核心网为主基站分配的基准密钥(keyforaccessandmobilitymanagementfunction，kamf)，安全算法可以是动态配置在主基站中的，可根据实际情况进行更换。基于此，确定与终端通信的安全密钥更新，包括：当监测到安全算法和/或基准密钥变更时，确定与终端设备通信的安全密钥更新。

在一种可选的实施方式中，更新指示为分组数据汇聚协议pdcp变更指示。本实施例中pdcp变更指示为主基站发起的指示，用于指示主基站发起请求更新辅基站中的安全密钥。具体的，该pdcp变更指示的指示类型为：来自m-ng-ran结点(fromm-ng-rannode)；从m-ng-ran结点到s-ng-ran结点指示(indicationfromm-ng-rannodetos-ng-rannode)中包括s-ng-ran结点安全密钥更新请求(s-ng-rannodekeyupdaterequest)；其中，m-ng-rannode表示上述主基站，s-ng-rannode表示上述辅基站。

进一步，为便于理解更新辅基站中的安全密钥的过程，参见图4，本发明实施例提供了一种交互流程示意图，具体示意出了一种主基站和辅基站之间的交互流程，包括：

步骤s401，主基站(mn)确定与终端设备通信的安全密钥更新。

步骤s402，主基站(mn)向辅基站(sn)发送s-node修改请求消息，s-node修改请求消息中携带有pdcp变更指示和安全密钥。

步骤s403，辅基站(sn)获取pdcp变更指示，确定pdcp变更指示的类型为来自m-ng-ran结点，且从m-ng-ran结点到s-ng-ran结点指示中包括s-ng-ran结点安全密钥更新请求。

步骤s404，辅基站(sn)从s-node修改请求消息中获取安全密钥，进行安全密钥更新处理。

具体的，将s-node修改请求消息中携带的安全密钥配置给底层的pdcp模块，以使pdcp模块使用s-node修改请求消息中携带的安全密钥对后续的控制面和数据面数据进行加密处理。

步骤s405，辅基站(sn)向主基站(mn)发送s-node修改请求应答消息，以通知主基站(mn)安全密钥更新成功。

本发明实施例中，由主基站主动对辅基站中与终端设备通信的安全密钥的更新请求，能够预防由于安全密钥不一致而产生通信异常外，在流程上也可以减少主基站和辅基站之间的信令交互；在信令消息(s-node修改请求消息)中携带pdcp变更指示使得处理逻辑较为清晰有利于减小辅基站内部处理逻辑的复杂度，也便于流程的复用及后续应用场景的拓展。

对应上述图2所示的一种安全密钥的更新方法，参见图5，本发明实施例提供了一种安全密钥的更新装置500，应用于辅基站，包括：

接收模块501，用于接收主基站在确定与终端设备通信的安全密钥更新时发送的更新请求消息；所述更新请求消息中携带更新指示和与终端设备通信的安全密钥，所述更新指示用于指示所述辅基站对所述安全密钥进行更新；

更新模块502，用于根据所述更新指示，将保存的与所述终端设备通信的安全密钥更新为请求消息中携带的安全密钥。

本实施例中，辅基站接收主基站在确定与终端设备通信的安全密钥更新时主动发送的更新请求消息，根据更新请求消息中的更新指示更新安全密钥。无需辅基站要求主基站来被动获取安全密钥，能够避免辅基站侧安全密钥更新不及时，而发生由于安全密钥不一致产生通信异常的情况。

在一种可选的实施方式中，更新指示为分组数据汇聚协议pdcp变更指示。本实施例中pdcp变更指示为主基站发起的指示，用于指示主基站发起请求更新辅基站中的安全密钥。具体的，该pdcp变更指示的指示类型为：来自m-ng-ran结点(fromm-ng-rannode)；从m-ng-ran结点到s-ng-ran结点指示(indicationfromm-ng-rannodetos-ng-rannode)中包括s-ng-ran结点安全密钥更新请求(s-ng-rannodekeyupdaterequest)；其中，m-ng-rannode表示上述主基站，s-ng-rannode表示上述辅基站。

对应上述图3所示的另一种安全密钥的更新方法，参见图6，本发明实施例提供了一种安全密钥的更新装置600，应用于主基站，包括：

确定模块601，用于确定与终端设备通信的安全密钥更新；

发送模块602，用于向辅基站发送更新请求消息；所述更新请求消息中携带更新指示和与终端设备通信的安全密钥，所述更新指示用于指示所述辅基站对所述安全密钥进行更新。

本实施例中，主基站在确定与终端设备通信的安全密钥更新时主动向辅基站发送更新请求消息，以指示辅基站对安全密钥进行更新。而不是辅基站的要求下发送更新后的安全密钥，能够避免辅基站侧安全密钥更新不及时，而发生由于安全密钥不一致产生通信异常的情况。

在一种可选的实施方式中，更新指示为分组数据汇聚协议pdcp变更指示。本实施例中pdcp变更指示为主基站发起的指示，用于指示主基站发起请求更新辅基站中的安全密钥。具体的，该pdcp变更指示的指示类型为：来自m-ng-ran结点(fromm-ng-rannode)；从m-ng-ran结点到s-ng-ran结点指示(indicationfromm-ng-rannodetos-ng-rannode)中包括s-ng-ran结点安全密钥更新请求(s-ng-rannodekeyupdaterequest)；其中，m-ng-rannode表示上述主基站，s-ng-rannode表示上述辅基站。

在一种可选的实施方式中，与终端设备通信的安全密钥是基于安全算法和基础密钥生成的；确定模块601，具体用于当安全算法和/或基准密钥变更时，确定与终端设备通信的安全密钥更新。

对应上述方法，参见图7，本发明实施例还提供了一种安全密钥的更新装置700的结构示意图，该装置可应用于主基站或者辅基站，包括：

通信接口701，存储器702以及处理器703；

其中，所述处理器703通过通信接口701与其它设备进行通信。

本申请实施例中不限定上述通信接口701、存储器702以及处理器703之间的具体连接介质，比如总线，总线可以分为地址总线、数据总线、控制总线等。

在本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器，用于存储程序指令，存储器可以是非易失性存储器，比如硬盘(harddiskdrive，hdd)或固态硬盘(solid-statedrive，ssd)等，还可以是易失性存储器(volatilememory)，例如随机存取存储器(random-accessmemory，ram)。存储器还可以是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

当应用于主基站时，所述处理器703可以通过所述通信接口701与其它设备进行通信，该其它设备可以是辅基站，比如，处理器703可以通过通信接口701向辅基站发送更新请求消息，处理器703用于调用存储器702中存储的程序指令，按照获得的程序执行上述任一实施例中主基站侧执行的方法。

当应用于辅基站时，所述处理器703可以通过所述通信接口701与其它设备进行通信，该其它设备可以是主基站，比如，处理器703可以通过通信接口701向主基站发送更新应答消息，处理器703用于调用存储器702中存储的程序指令，按照获得的程序执行上述任一实施例中辅基站侧执行的方法。

进一步，本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机指令，当计算机指令在计算机上运行时，使得计算机执行上述方法。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。