[发明专利]一种密钥生成方法和相关装置

说明书

本申请实施例提供密钥生成方法，应用于基站拆分为集中式单元和分布式单元，且该集中式单元的控制面和用户面分离的场景。本申请实施例提供的一种密钥生成方法中，集中式单元的控制面实体获取根密钥，并基于该根密钥生成用户面安全密钥。本申请提供的另一种密钥生成方法中，集中式单元的用户面实体获取根密钥，并基于该根密钥生成用户面安全密钥。因此，本申请实施例的方案实现了不同用户面实体之间的密钥隔离。进一步的，实际操作中，可以灵活选择由集中式单元的控制面实体或用户面实体来生成用户面安全密钥。

技术领域

本申请涉及通信技术领域，尤其涉及一种密钥生成方法和相关装置。

背景技术

图1为长期演进(long term evolution，LTE)的密钥架构的示意图。在LTE中，以认证与密钥协商(authentication and key agreement，AKA)过程中生成的K_ASME作为基础，可以推衍出非接入层(non-access stratum，NAS)密钥和演进节点B(evolved Node B，eNB)的主密钥(K_eNB)。NAS密钥供终端与移动性管理实体(mobility management entity，MME)之间使用，包括NAS加密密钥(可表示为K_NASenc)和NAS完整性保护密钥(可表示为K_NASint)。K_eNB用于计算接入层(access stratum，AS)密钥。AS密钥供终端与演进节点(evolved NodeB，eNodeB或eNB)之间使用，包括无线资源控制(radio resource control，RRC)加密密钥(可表示为K_RRCenc)、RRC完整性保护密钥(可表示为K_RRCint)和用户面完整性保护密钥(K_UPenc)。其中，K_RRCenc用于对RRC消息进行加密保护，K_RRCint用于对RRC消息进行完整性保护，K_UPenc用于对空口用户数据进行加密保护。

然而，未来网络中，基站可能拆分为集中式单元(centralized unit，CU)和分布式单元(distributed unit，DU)。其中，集中式单元又可以拆分为CU控制面(CU-controlplane，CU-CP)实体和CU用户面(CU-user plane，CU-UP)实体。一个基站可以由一个CU-CP实体、多个CU-UP实体和多个DU组成。在这种场景下，若沿用LTE的密钥架构，则同一个基站的不同CU-UP实体将使用相同的密钥，存在安全风险。

发明内容

本申请实施例提供一种密钥生成方法和相关装置，用以实现不同CU-UP实体之间的密钥隔离。

第一方面，本申请实施例提供一种密钥生成方法，应用于第一基站包括第一集中式单元且该第一集中式单元包括控制面实体和用户面实体，该方法包括：第一集中式单元的控制面实体获取根密钥；第一集中式单元的控制面实体基于该根密钥生成第一用户面安全密钥，该第一用户面安全密钥为第一集中式单元的用户面实体与终端之间使用的用户面安全密钥，该第一用户面安全密钥包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项；第一集中式单元的控制面实体向第一集中式单元的用户面实体发送该第一用户面安全密钥。

第二方面，本申请实施例提供另一种密钥生成方法，应用于第一基站包括第一集中式单元且第一集中式单元包括控制面实体和用户面实体，该方法包括：第一集中式单元的用户面实体接收来自第一集中式单元的控制面实体的第一用户面安全密钥，该第一用户面安全密钥为第一集中式单元的用户面实体与终端之间使用的用户面安全密钥，该第一用户面安全密钥包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项。

通过上述两个方面的方案，在基站拆分为集中式单元和分布式单元，且集中式单元拆分为控制面实体和用户面实体的情况下，针对不同的用户面实体可以由控制面实体生成不同的安全密钥，从而实现用户面实体之间的密钥隔离。