[发明专利]一种通信方法、相关设备及系统

说明书

本发明实施例公开了一种通信方法，相关设备及系统，该系统包括终端、第一接入网节点AN、第二接入网节点AN，其中：该第一AN用于确定该终端满足从该第一AN切换到该第二AN的条件，该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值；该第一AN用于向该第二AN发送目标消息以指示该第二AN获取第二参考值；该第二AN用于根据该目标消息获取该第二参考值；该终端用于获取该第二参考值，该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。采用本发明实施例，能够提高终端的安全性能。

技术领域

本发明涉及通信技术领域，尤其涉及一种通信方法、相关设备及系统。

背景技术

在已有的长期演进(Long Term Evolution，LTE)安全架构中，用户设备(UserEquipment，UE)通过基站接入至运营商的网络中。UE与基站之间包括控制面数据和用户面数据的传输，这两类数据传输时采用的协议栈格式均包括分组数据汇聚层协议(PacketData Convergence Protocol，PDCP)层。PDCP层的信息可以用于数据的加解密和完整性保护。PDCP有多种格式，但其中每个格式都包含PDCP SN字段，以下简称为序列号(Sequencenumber，SN)，图1A示意了一种PDCP格式，其中包括PDCP SN字段和数据Data字段，Data字段用于封装用户数据，PDCP SN字段用于封装PDCP层进行加解密和/或者完整性保护的参数SN。

图1B示意了一种加解密的场景示意图，图1B中虚线左侧代表加密流程，虚线右侧代表解密流程，加密流程和解密流程均采用的算法可以用f8表示。f8的输入包括：加密密钥(cipher key，CK)、计数器(Counter，也称Count-C)、承载标识(Bearer)、方向(Direction)、length(长度标识)；数据的完整性保护与加解密类似，均要用到Counter参数。Counter通常包括超帧数HFN和序列号SN，密钥生成过程可能还涉及密钥流分组(KEYSTREAM BLOCK)、明文分组(PLAINTEXT BLOCK)、密文分组(CIPHERTEXT BLOCK)，上述加密通出现在发送(sender)方，上述解密通常出现在接收(Receiver)方，例如，UE为发送方时无线网络控制器(Radio Network Controller，RNC)为接收方，RNC为接收方时UE为发送方。PDCP SN字段中的SN必须明文发送，这样接收方才能根据SN完成解密或者完整性验证的动作，而SN明文发送容易被攻击者截取；当用户设备(User Equipment，UE)从一个基站切换到另一个基站时，如果攻击者在这两个基站附近截取到了该UE发送的明文SN，则可以确定该UE的移动情况，不利于UE的安全。

发明内容

本发明实施例所要解决的技术问题在于，提供一种通信方法，相关设备及系统，能够提高UE的安全性能。

第一方面，本发明实施例提供了一种通信系统，该系统包括终端、第一接入网节点AN、第二接入网节点AN，其中：该第一AN用于确定该终端满足从该第一AN切换到该第二AN的条件，该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值，该目标参数为计数器Counter，或者为序列号SN；该第一AN用于向该第二AN发送目标消息以指示该第二AN获取第二参考值；该第二AN用于根据该目标消息获取该第二参考值；该终端用于获取该第二参考值，该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。

通过运行上述系统，当终端从与第一AN通信切换到与第二AN通信时，终端和第二AN均获取第二参考值，终端和第二AN后续通过第二参考值进行加密和/或完整性保护，而不是沿用第一参考值进行加密和/或完整性保护，这样一来，当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时，由于第一参考值与第二参考值不同，因此攻击者也不会推断出第一参考值和第二参考值来自相同终端，从而提升了终端的安全性能。