[发明专利]一种密钥生成方法、装置、第一网络实体及基站设备

说明书

本发明提供了一种密钥生成方法、装置、第一网络实体及基站设备，其中，密钥生成方法包括：第一网络实体对应的网络设备中的第二网络实体中已经存在终端的第一承载上下文的情况下，在网络设备中的第三网络实体中为终端建立第二承载上下文时，根据与第一承载上下文所对应的第一接入层密钥以及预设信息，生成与第二承载上下文对应的第二接入层密钥；第二接入层密钥与第一接入层密钥不同，第二网络实体与第三网络实体为不同的网络实体。本方案可保证不同的CU‑UP所使用的安全密钥是不同的，实现不同接入层实体之间的密钥隔离，降低安全风险，解决现有技术中无线接入网用户数据算法密钥的配置方案导致密钥使用存在安全风险的问题。

技术领域

本发明涉及通信技术领域，特别是指一种密钥生成方法、装置、第一网络实体及基站设备。

背景技术

1)无线接入网节点的CU-CP/UP分离结构

如图1所示，在新空口(NR)及类似系统中，一个逻辑上的无线接入网节点(RANnode)可以进一步划分为一个控制平面中心节点(Central Unit-Control Plane，即CU-CP)，一个或多个用户平面中心节点(Central Unit-User Plane，即CU-UP)，以及一个或多个分布节点(Distributed Unit，即DU)，这种结构称作“CU-CP/UP分离(CU-CP/UP split)”，这些节点可以位于不同的物理实体之内。一个CU-CP可以连接多个CU-UP。CU-CP与DU之间以F1-C或类似接口连接，而CU-CP与CU-UP之间以E1或类似接口连接。RAN node与核心网的控制面连接止于CU-CP，用户面连接终止于CU-UP，而RAN node与移动终端的空口连接终止于DU。

CU-CP/UP分离的一种常见场景如图2所示：CU-CP实现为中心控制节点，而CU-UP实现为数据服务节点，不同CU-UP支持不同类型的数据流。例如：CU-UP1支持低时延数据流，与DU一并部署于基站附近的室外；而CU-UP2支持高带宽数据流，部署于中心机房之内。

2)无线接入网次级密钥的生成方式

以NR/5G系统为例，当一个用户终端处于RRC连接状态时，无线接入网节点与用户终端内部均储存有一个相同的接入层根密钥K_gNB。根据K_gNB，无线接入网节点与用户终端进一步生成算法密钥，例如RRC信令完整性保护密钥K_RRCint，RRC信令加密密钥K_RRCenc，用户数据完整性保护密钥K_UPint，以及用户数据加密密钥K_UPenc。空口RRC信令或用户数据的发送方将使用这些算法密钥对所发送的数据进行安全保护，而接收方将使用相同的算法密钥对接收的数据进行安全保护。哪些信令或数据具体使用哪些密钥进行安全保护是由无线接入网节点所配置的。

当用户终端处于双连接状态时(即用户终端同时使用主接入网节点Master Node(MN)与次要接入网节点Secondary Node(SN)的物理资源)，无线接入网节点还可以配置一个次要的接入层密钥K_SN(这是目前暂定的名称，日后可能会变化)，K_SN是从K_gNB与SN计数值(类似的，这也是目前暂定的名称，日后可能会变化)所导出的。无线接入网节点在配置K_SN的过程中会向用户终端发送SN计数值，以指示用户终端生成相同的K_SN。根据K_gNB，无线接入网节点与用户终端进一步生成算法密钥。与单连接情况类似，哪些信令或数据具体使用哪些密钥进行安全保护是由无线接入网节点所配置的。

所有密钥均通过密钥导出函数(Key Derivation Function,KDF)导出，具体导出方式如图3所示：