本發明公開了一種下一跳鏈計數器更新方法、裝置及設備，包括：為進入非活躍狀態后的用戶設備設定安全更新定時器和/或計數器；根據分組數據聚合協議實體是否發生變化，以及所述安全更新定時器是否超時和/或所述計數器是否達到其閾值來確定是否更新用戶設備的下一跳鏈計數器。采用本發明，相比于LTE中的終端密鑰更新機制降低了更新的頻度，從而降低了相應的信令開銷。進一步的，還可以通過調整前述定時器及計數器的閾值，為滿足未來5G移動通信系統的安全要求提供較大的靈活性。

技術領域

本發明涉及無線通信技術領域，特別涉及一種下一跳鏈計數器更新方法、裝置及設備。

背景技術

圖1為EPS密鑰層次結構示意圖，EPS(Evolved Packet System，演進分組系統)密鑰層次如圖所示為：

當安全上下文建立時，UE(User Equipment，用戶設備)和MME(MobilityManagement Entity，移動性管理實體)利用K_ASME(MME基本密鑰)和K_eNB(基站密鑰)來推導NH(Next Hop下一跳)；當安全上下文未建立時，UE和MME利用K_ASME和原NH來推導新NH。其中，UE和MME根據K_ASME推導得到K_eNB，在UE進入ECM-CONNECTED(ECM連接；ECM：EPS ConnectionManagement，EPS連接管理)狀態(該狀態為RRC(Radio Resource Control，無線資源控制)連接或S1上下文建立期間的狀態)的過程中從EPC傳送給eNB。NCC(Next hop ChainingCounter，下一跳鏈計數器)用于記錄一共產生過多少NH，使UE與eNB同步，并決定下一個K_eNB*的計算是需要基于當前K_eNB還是新NH。

核心網通過對UE鑒權的同時會根據HSS(Home Subscriber Server，歸屬用戶服務器)中存儲的UE參數(CK、IK(Integrity Key，完整性密鑰))及其它參數(服務網絡標識(SNID)、序列號(SQN)、隱藏密鑰(AK))信息生成MME基本密鑰K_ASME。MME中生成的K_ASME只在本地MME維護不外傳。基于K_ASME和Uplink NAS COUNT(上行NAS計數；NAS：Non Access Stratum，非接入層)生成K_eNB，根據K_ASME及NAS密鑰算法(含完整性及加密算法)生成NAS密鑰K_NASint(NAS完整性保護密鑰)、K_NASenc(NAS加密密鑰)。核心網通過對UE鑒權后還會向UE發送UE NAS安全上下文相關的NAS SMC(security mode command，安全模式命令)信令，該信令包含MME傳遞給UE的NAS密鑰生成算法及必要的參數(SQN、AK)，從而生成和MME相同的KASME、KNASint、KNASenc密鑰。

現有技術的不足在于：在LTE(Long Term Evolution，長期演進)中，當每次進行RRC連接恢復或重建時都可能更新UE的密鑰，該方法的密鑰更新過于頻繁，有時沒有必要。另一種方法是當發生PDCP(Packet Data Convergence Protocol，分組數據聚合協議)實體更改時才更新密鑰，該方法雖然減少了密鑰更新次數，但也增加了實現復雜度，且其對RRC連接恢復等相關過程的安全方面影響還有待討論。

發明內容

本發明提供了一種下一跳鏈計數器更新方法、裝置及設備，用以減少下一代移動通信網絡中的終端密鑰更新時的頻度。

本發明實施例中提供了一種下一跳鏈計數器更新方法，包括：

為進入INACTIVE狀態后的UE設定安全更新定時器和/或計數器；