一种NR系统XN切换过程中增加秘钥前向隔离度的方法、基站、UE及NR系统与流程

一种nr系统xn切换过程中增加秘钥前向隔离度的方法、基站、ue及nr系统
技术领域
1.本发明涉及通信技术领域，具体而言，涉及一种nr系统xn切换过程中增加秘钥前向隔离度的方法、基站、ue及nr系统。


背景技术：

2.3gpp无线系统38.413、38.331、33.501协议中定义了xn切换过程中秘钥的更新流程，具体如下：
3.(1)ue在源基站a上报a3事件触发xn切换，a基站通过目的基站b的频点和pci以及当前使用的安全秘钥key水平推演出新的安全秘钥key；
4.(2)a基站将新的安全秘钥key以及ncc通过handover request请求带给目的基站b；
5.(3)b基站直接使用handover request请求中携带的安全秘钥key推算出用户面和无线资源控制面的秘钥；
6.(4)b基站将当前的ncc放到重配消息rrcreconfiguration中，通过handover request acknowledge带给a基站；
7.(5)a基站将重配消息rrcreconfiguration发送给ue，ue根据携带的ncc推演出新的安全秘钥key；
8.(6)b基站收到重配完成后，向5gc发送path switch request消息；
9.(7)5gc(5g核心网)在给b基站的path switch request acknowledge消息中携带新的{nh,ncc}；
10.(8)b基站保存新的{nh,ncc}用于下一次xn切换；
11.(9)当ue需要从b基站切出时，b基站使用保存的{nh,ncc}垂直推演出新的安全秘钥key传给目的c基站。
12.从上面的流程可以出，a基站是知道b基站使用的安全秘钥key的，因此可以推算出ue在b基站的用户面和无线资源控制面的秘钥。而b基站知道c基站使用的{nh,ncc}，因此b基站也可以推算出ue在c基站的用户面和无线资源控制面的秘钥。而a基站不知道{nh,ncc}，因此无法获取ue在c基站的秘钥。也就是说xn切换过程中，只能提供两跳的前向秘钥隔离，针对2类攻击模型，如果网络攻击者可以获取到a基站的空口信号以及其中的秘钥材料，则可以推断出b基站的秘钥，有一定的安全风险。


技术实现要素：

13.本发明旨在提供一种nr系统xn切换过程中增加秘钥前向隔离度的方法、基站、ue及nr系统，以解决3gpp无线系统38.413、38.331、33.501协议中定义的xn切换过程中秘钥的更新流程只能提供两跳前向秘钥隔离的问题，使源基站和目的基站之前可以达到一跳前向秘钥隔离，降低nr系统xn切换安全风险。
14.本发明提供的一种nr系统xn切换过程中增加秘钥前向隔离度的方法为：
15.xn切换过程中，源基站向目的基站发送handover request请求时不再携带水平推演后的安全秘钥key，而是直接携带源基站当前使用的安全密钥key；
16.当目的基站收到path switch request消息后，用其携带的{nh,ncc}垂直推演出新的安全秘钥key，并且推算出用户面和无线资源控制面的秘钥作为本站的秘钥，然后向ue发起一次安全秘钥更新流程，触发ue根据新的ncc更新自己的秘钥。
17.进一步的，所述方法包括如下步骤：
18.(1)ue在源基站a上报a3事件触发xn切换，a基站直接将本站使用的安全秘钥key通过handover request请求带给目的基站b；
19.(2)b基站直接使用handover request请求中携带的安全秘钥key推算出用户面和无线资源控制面的秘钥；
20.(3)b基站在发给ue的重配消息rrcreconfiguration中不携带秘钥更新相关信息，因此在切换过程中b基站和ue的无线资源控制面通信仍旧使用老的秘钥；
21.(4)a基站将重配消息rrcreconfiguration发送给ue，ue不更新安全秘钥key；
22.(5)b基站收到重配完成消息rrcreconfigurationcomplete后，向5gc发送path switch request消息；
23.(6)5gc在给b基站的path switch request acknowledge消息中携带新的{nh,ncc}；
24.(7)b基站保存新的{nh,ncc}，并且推演出新的安全秘钥key，同时推算出新的用户面和无线资源控制面的秘钥作为本站的秘钥；
25.(8)b基站向ue发送重配消息rrcreconfiguration，并在重配消息rrcreconfiguration中携带新的ncc；
26.(9)ue收到携带新的ncc的重配消息rrcreconfiguration后通过携带的新的ncc更新自己的秘钥。
27.本发明还提供一种基站，所述基站为源基站，用于按照上述的nr系统xn切换过程中增加秘钥前向隔离度的方法执行。
28.本发明还提供一种基站，所述基站为目的基站，用于按照上述的nr系统xn切换过程中增加秘钥前向隔离度的方法执行。
29.本发明还提供一种ue，所述ue用于按照上述的nr系统xn切换过程中增加秘钥前向隔离度的方法执行。
30.本发明还提供一种nr系统，所述nr系统包括ue、源基站、目的基站和5gc；所述括ue、源基站、目的基站和5gc分别按照上述的nr系统xn切换过程中增加秘钥前向隔离度的方法执行。
31.综上所述，由于采用了上述技术方案，本发明的有益效果是：
32.本发明中，nr系统在xn切换过程中不更新目的基站的安全秘钥，目的基站在切换完成后，收到新的{nh,ncc}后再更新本站的安全秘钥，同时通知ue更新安全秘钥，因此目的基站更新后的秘钥是源基站无法推算的，因此可以降低nr系统xn切换过程中的安全风险。
附图说明
33.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
34.图1为本发明的nr系统xn切换过程中增加秘钥前向隔离度的方法的流程图。
具体实施方式
35.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
36.因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
37.实施例1
38.本实施例提出一种nr系统xn切换过程中增加秘钥前向隔离度的方法，所述方法为：
39.xn切换过程中，源基站向目的基站发送handover request请求时不再携带水平推演后的安全秘钥key，而是直接携带源基站当前使用的安全密钥key；
40.当目的基站收到path switch request消息后，用其携带的{nh,ncc}垂直推演出新的安全秘钥key，并且推算出用户面和无线资源控制面的秘钥作为本站的秘钥，然后向ue发起一次安全秘钥更新流程，触发ue根据新的ncc更新自己的秘钥。
41.通过上述方法，目的基站更新后的秘钥是源基站无法推算的，因此可以降低nr系统xn切换过程中的安全风险。
42.具体如图1所示，所述方法包括如下步骤：
43.(1)ue在源基站a上报a3事件触发xn切换，a基站直接将本站使用的安全秘钥key通过handover request请求带给目的基站b；
44.(2)b基站直接使用handover request请求中携带的安全秘钥key推算出用户面和无线资源控制面的秘钥；
45.(3)b基站在发给ue的重配消息rrcreconfiguration中不携带秘钥更新相关信息，因此在切换过程中b基站和ue的无线资源控制面通信仍旧使用老的秘钥；
46.(4)a基站将重配消息rrcreconfiguration发送给ue，ue不更新安全秘钥key；
47.(5)b基站收到重配完成消息rrcreconfigurationcomplete后，向5gc发送path switch request消息；
48.(6)5gc在给b基站的path switch request acknowledge消息中携带新的{nh,ncc}；
49.(7)b基站保存新的{nh,ncc}，并且推演出新的安全秘钥key，同时推算出新的用户
面和无线资源控制面的秘钥作为本站的秘钥；
50.(8)b基站向ue发送重配消息rrcreconfiguration，并在重配消息rrcreconfiguration中携带新的ncc；
51.(9)ue收到携带新的ncc的重配消息rrcreconfiguration后通过携带的新的ncc更新自己的秘钥。
52.实施例2
53.本实施例提出一种基站，所述基站为源基站，用于按照实施例1所述的nr系统xn切换过程中增加秘钥前向隔离度的方法执行。
54.如图1所示，实施例1所述的nr系统xn切换过程中增加秘钥前向隔离度的方法包括如下步骤：
55.(1)ue在源基站a上报a3事件触发xn切换，a基站直接将本站使用的安全秘钥key通过handover request请求带给目的基站b；
56.(2)b基站直接使用handover request请求中携带的安全秘钥key推算出用户面和无线资源控制面的秘钥；
57.(3)b基站在发给ue的重配消息rrcreconfiguration中不携带秘钥更新相关信息，因此在切换过程中b基站和ue的无线资源控制面通信仍旧使用老的秘钥；
58.(4)a基站将重配消息rrcreconfiguration发送给ue，ue不更新安全秘钥key；
59.(5)b基站收到重配完成消息rrcreconfigurationcomplete后，向5gc发送path switch request消息；
60.(6)5gc在给b基站的path switch request acknowledge消息中携带新的{nh,ncc}；
61.(7)b基站保存新的{nh,ncc}，并且推演出新的安全秘钥key，同时推算出新的用户面和无线资源控制面的秘钥作为本站的秘钥；
62.(8)b基站向ue发送重配消息rrcreconfiguration，并在重配消息rrcreconfiguration中携带新的ncc；
63.(9)ue收到携带新的ncc的重配消息rrcreconfiguration后通过携带的新的ncc更新自己的秘钥。
64.所述基站为源基站a，即用于执行步骤(1)、步骤(4)。
65.实施例3
66.本实施例提出一种基站，所述基站为目的基站，用于按照实施例1所述的nr系统xn切换过程中增加秘钥前向隔离度的方法执行。
67.如图1所示，实施例1所述的nr系统xn切换过程中增加秘钥前向隔离度的方法包括如下步骤：
68.(1)ue在源基站a上报a3事件触发xn切换，a基站直接将本站使用的安全秘钥key通过handover request请求带给目的基站b；
69.(2)b基站直接使用handover request请求中携带的安全秘钥key推算出用户面和无线资源控制面的秘钥；
70.(3)b基站在发给ue的重配消息rrcreconfiguration中不携带秘钥更新相关信息，因此在切换过程中b基站和ue的无线资源控制面通信仍旧使用老的秘钥；
71.(4)a基站将重配消息rrcreconfiguration发送给ue，ue不更新安全秘钥key；
72.(5)b基站收到重配完成消息rrcreconfigurationcomplete后，向5gc发送path switch request消息；
73.(6)5gc在给b基站的path switch request acknowledge消息中携带新的{nh,ncc}；
74.(7)b基站保存新的{nh,ncc}，并且推演出新的安全秘钥key，同时推算出新的用户面和无线资源控制面的秘钥作为本站的秘钥；
75.(8)b基站向ue发送重配消息rrcreconfiguration，并在重配消息rrcreconfiguration中携带新的ncc；
76.(9)ue收到携带新的ncc的重配消息rrcreconfiguration后通过携带的新的ncc更新自己的秘钥。
77.所述基站为目的基站b，即用于执行步骤(2)、步骤(3)、步骤(5)、步骤(7)、步骤(8)。
78.实施例4
79.本实施例提出一种ue，所述ue用于按照实施例1所述的nr系统xn切换过程中增加秘钥前向隔离度的方法执行。
80.如图1所示，实施例1所述的nr系统xn切换过程中增加秘钥前向隔离度的方法包括如下步骤：
81.(1)ue在源基站a上报a3事件触发xn切换，a基站直接将本站使用的安全秘钥key通过handover request请求带给目的基站b；
82.(2)b基站直接使用handover request请求中携带的安全秘钥key推算出用户面和无线资源控制面的秘钥；
83.(3)b基站在发给ue的重配消息rrcreconfiguration中不携带秘钥更新相关信息，因此在切换过程中b基站和ue的无线资源控制面通信仍旧使用老的秘钥；
84.(4)a基站将重配消息rrcreconfiguration发送给ue，ue不更新安全秘钥key；
85.(5)b基站收到重配完成消息rrcreconfigurationcomplete后，向5gc发送path switch request消息；
86.(6)5gc在给b基站的path switch request acknowledge消息中携带新的{nh,ncc}；
87.(7)b基站保存新的{nh,ncc}，并且推演出新的安全秘钥key，同时推算出新的用户面和无线资源控制面的秘钥作为本站的秘钥；
88.(8)b基站向ue发送重配消息rrcreconfiguration，并在重配消息rrcreconfiguration中携带新的ncc；
89.(9)ue收到携带新的ncc的重配消息rrcreconfiguration后通过携带的新的ncc更新自己的秘钥。
90.所述ue用于执行步骤(1)、步骤(9)。
91.实施例5
92.本实施例提出一种nr系统，其所述nr系统包括ue、源基站、目的基站和5gc；所述括ue、源基站、目的基站和5gc分别按照实施例1所述的nr系统xn切换过程中增加秘钥前向隔
离度的方法执行。
93.如图1所示，实施例1所述的nr系统xn切换过程中增加秘钥前向隔离度的方法包括如下步骤：
94.(1)ue在源基站a上报a3事件触发xn切换，a基站直接将本站使用的安全秘钥key通过handover request请求带给目的基站b；
95.(2)b基站直接使用handover request请求中携带的安全秘钥key推算出用户面和无线资源控制面的秘钥；
96.(3)b基站在发给ue的重配消息rrcreconfiguration中不携带秘钥更新相关信息，因此在切换过程中b基站和ue的无线资源控制面通信仍旧使用老的秘钥；
97.(4)a基站将重配消息rrcreconfiguration发送给ue，ue不更新安全秘钥key；
98.(5)b基站收到重配完成消息rrcreconfigurationcomplete后，向5gc发送path switch request消息；
99.(6)5gc在给b基站的path switch request acknowledge消息中携带新的{nh,ncc}；
100.(7)b基站保存新的{nh,ncc}，并且推演出新的安全秘钥key，同时推算出新的用户面和无线资源控制面的秘钥作为本站的秘钥；
101.(8)b基站向ue发送重配消息rrcreconfiguration，并在重配消息rrcreconfiguration中携带新的ncc；
102.(9)ue收到携带新的ncc的重配消息rrcreconfiguration后通过携带的新的ncc更新自己的秘钥。
103.即：
104.所述ue用于执行步骤(1)、步骤(9)。
105.所述源基站用于执行步骤(1)、步骤(4)。
106.所述目的基站用于执行步骤(2)、步骤(3)、步骤(5)、步骤(7)、步骤(8)。
107.所述5gc用于执行步骤(6)。
108.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。