[发明专利]Un接口的安全保护方法、装置和基站

权利要求书

1.一种Un接口的安全保护方法，其特征在于，包括：

获得Un接口上传递的分组数据汇聚协议数据包的计数值和增强计数值，所述增强计数值逻辑上是所述计数值的高位，在所述计数值达到预定门限值之后，所述增强计数值增加预定数值；

根据所述计数值、所述增强计数值和安全保护密钥，对所述Un接口上传递的分组数据汇聚协议数据包进行安全处理。

2.根据权利要求1所述的方法，所述获得Un接口上传递的分组数据汇聚协议数据包的计数值和增强计数值之前，还包括：

新增所述增强计数值来记录所述分组数据汇聚协议数据包的数值；或者，

扩展所述分组数据汇聚协议数据包的计数值的高位，在扩展后的分组数据汇聚协议数据包的计数值的高位添加所述增强计数值。

3.根据权利要求1所述的方法，其特征在于，所述安全处理包括加密处理或解密处理，

所述根据所述计数值、所述增强计数值和安全保护密钥，对所述Un接口上传递的分组数据汇聚协议数据包进行安全处理包括：

根据所述计数值、所述增强计数值、安全保护密钥、所述分组数据汇聚协议数据包中携带的承载标识、方向和长度，生成加密密钥流或解密密钥流；

利用所述加密密钥流，对所述Un接口上传递的分组数据汇聚协议数据包进行加密处理；或者，利用所述解密密钥流，对所述Un接口上传递的分组数据汇聚协议数据包进行解密处理。

4.根据权利要求1所述的方法，其特征在于，所述安全处理包括完整性保护处理，

所述根据所述计数值、所述增强计数值和安全保护密钥，对所述Un接口上传递的分组数据汇聚协议数据包进行安全处理包括：

根据所述计数值、所述增强计数值、安全保护密钥、所述分组数据汇聚协议数据包中携带的承载标识、方向和消息生成完整性保护消息认证码，并对比生成的完整性保护消息认证码与接收到的完整性保护消息认证码，以对Un接口上传递的分组数据汇聚协议数据包进行完整性保护验证处理；所述接收到的完整性保护消息认证码由发送端设备根据所述计数值、所述增强计数值、安全保护密钥、所述分组数据汇聚协议数据包中携带的承载标识、方向和消息生成并发送给接收端设备。

5.一种Un接口的安全保护方法，其特征在于，包括：

当第一空口密钥对应的分组数据汇聚协议数据包的计数值达到预定门限值时，向中继节点发送安全模式命令或无线资源控制重配置命令，以触发基站和所述中继节点使用第二空口密钥；

利用所述第二空口密钥对所述基站与所述中继节点之间的Un接口上传递的分组数据汇聚协议数据包进行安全保护。

6.根据权利要求5所述的方法，其特征在于，所述向中继节点发送安全模式命令或无线资源控制重配置命令之前，还包括：

接收移动管理实体发送的S1消息，所述S1消息携带至少一个下一跳密钥和所述第一空口密钥。

7.根据权利要求6所述的方法，其特征在于，所述第一空口密钥根据上行非接入层序列号，以及所述中继节点与网络侧共享的根密钥生成；所述第二空口密钥根据物理小区标识和所述至少一个下一跳密钥中的第一下一跳密钥生成。

8.根据权利要求7所述的方法，其特征在于，所述至少一个下一跳密钥中的第一下一跳密钥根据所述第一空口密钥和所述中继节点与网络侧共享的根密钥生成。

9.根据权利要求5所述的方法，其特征在于，所述预定门限值小于或等于所述分组数据汇聚协议数据包的计数值的最大值。

10.根据权利要求9所述的方法，其特征在于，所述安全模式命令中携带分组数据汇聚协议数据包的标识，以指示所述中继节点在接收到所述标识对应的分组数据汇聚协议数据包之后，使用所述第二空口密钥。

11.根据权利要求5所述的方法，其特征在于，所述向中继节点发送无线资源控制重配置命令，以触发基站和所述中继节点使用第二空口密钥包括：

向所述中继节点发送无线资源控制重配置命令之后，所述基站与所述中继节点根据物理小区标识、所述第一空口密钥和频率信息生成并使用所述第二空口密钥。