[发明专利]数据安全传输方法及LTE接入网系统

权利要求书

1.一种数据安全传输方法，其特征在于，用于基于长期演进LTE系统的异构网络，所述异构网络包括：LTE核心网、LTE接入网、以及LTE用户设备，所述LTE接入网中部署有一个或多个宏基站MeNB，在所述MeNB的覆盖范围内部署有一个或多个低功率节点LPN，所述方法具体包括：

在所述LTE用户设备接入所述MeNB时，所述MeNB从所述LTE核心网获取基站密钥，根据所述基站密钥生成第一接入层密钥，并通过其与所述LTE用户设备之间的控制面接口，使用所述第一接入层密钥对相应控制面信息和用户数据进行加密，并对相应控制面信息进行完整性保护后发送给所述LTE用户设备；

所述MeNB确定所述LTE用户设备的用户数据的分流策略，并通过其与LPN之间的后向链路接口，向相应的LPN发送为所述LTE用户设备提供多流传输服务的请求消息、所述LPN所需的控制面信息、以及第二接入层密钥；

所述MeNB接收所述LPN发送的请求响应，根据所述分流策略将从所述LTE核心网接收到的用户数据中的一部分通过其与所述LTE用户设备之间的用户面接口，使用所述第一接入层密钥对相应用户数据进行加密后发送给所述LTE用户设备，将所述用户数据中的另一部分通过所述后向链路接口发送给所述LPN；

所述LPN使用所述第二接入层密钥对相应的用户数据进行加密，并通过其与所述LTE用户设备之间的用户面接口将加密后的用户数据发送给所述LTE用户设备。

2.如权利要求1所述的方法，其特征在于，所述第一接入层密钥包括：用于用户面数据加密的用户面加密密钥，以及用于控制面信令加密的控制面加密密钥和/或用于控制面信令完整性保护的控制面完整性保护密钥。

3.如权利要求1所述的方法，其特征在于，所述方法还包括：

所述LPN通过其与所述LTE用户设备之间的控制面接口，接收所述LTE用户设备上报的测量结果信息，并根据所述测量结果信息调整对所述LTE用户设备的调度。

4.如权利要求3所述的方法，其特征在于，

在所述LPN与所述LTE用户设备之间仅具有用户面接口时，所述第二接入层密钥具体包括：用于用户面数据加密的用户面加密密钥；

在所述LPN与所述LTE用户设备之间具有用户面接口和控制面接口时，所述第二接入层密钥具体包括：用于用户面数据加密的用户面加密密钥，以及用于控制面信令加密的控制面加密密钥和/或用于控制面信令完整性保护的控制面完整性保护密钥。

5.如权利要求1所述的方法，其特征在于，所述第一接入层密钥与所述第二接入层密钥相同或不相同；

在所述第一接入层密钥与所述第二接入层密钥不相同时，所述LTE用户设备需要支持两套安全算法。

6.如权利要求1所述的方法，其特征在于，所述MeNB确定用户数据的分流策略具体包括：

所述MeNB至少根据网络负载、以及所述LTE用户设备上报的测量结果信息，以无线承载为分流粒度确定用户数据的分流策略。

7.如权利要求6所述的方法，其特征在于，在所述分流策略以无线承载为分流粒度时，所述分流策略的协议栈形式包括：在所述MeNB和所述LPN上分别设置有用于进行安全保护的数据包汇聚协议实体，以及各低层协议实体，其中所述各低层协议实体具体包括：无线链路控制子层、媒体接入控制子层、以及物理层。

8.如权利要求1所述的方法，其特征在于，所述方法还包括：

在多流传输服务过程中，根据运营商、所述LTE核心网、或所述LTE接入网的需求，需要进行密钥更新时，所述MeNB通过所述后向链路接口向所述LPN发送密钥更新指示，所述密钥更新指示中携带有新的接入层密钥；

所述MeNB接收所述LPN通过所述后向链路接口反馈的密钥更新响应，并通过其与所述LTE用户设备之间的控制面接口通知所述LTE用户设备密钥的更新。