[发明专利]一种指示安全密钥更新的方法及装置

权利要求书

1.一种指示安全密钥更新的方法，其特征在于，包括：

分流锚点从第一基站eNB转移到第二eNB时，第二eNB对来自服务网关S-GW的第一个下行数据包执行分组数据汇聚协议PDCP操作时使用新密钥加密，并将第一个使用新密钥的下行PDCP数据协议数据单元PDU设置为标志位有效；

和/或，分流锚点从第一eNB转移到第二eNB时，UE执行PDCP操作时使用新密钥加密，并将第一个使用新密钥的上行PDCP数据PDU设置为标志位有效，所述第一个使用新密钥的上行PDCP数据PDU序列号不小于分流锚点转移时已经发送成功或正在发送的、使用旧密钥的上行PDCP数据PDU；

其中，所述标志位有效表示当前PDCP数据PDU使用的密钥，与前一个PDCP数据PDU使用的密钥不同，所述前一个PDCP数据PDU的序列号比当前PDCP数据PDU小1。

2.根据权利要求1所述的方法，其特征在于，所述标志位为PDCP数据PDU包头的任意一个保留位。

3.根据权利要求1所述的方法，其特征在于，还包括：

将第一个使用新密钥的下行PDCP数据PDU之前的下行PDCP数据PDU和/或之后的下行PDCP数据PDU都设置为标志位无效；和/或，

将第一个使用新密钥的上行PDCP数据PDU之前的上行PDCP数据PDU和/或之后的上行PDCP数据PDU都设置为标志位无效。

4.根据权利要求1、2或3所述的方法，其特征在于，

所述标志位无效表示当前PDCP数据PDU使用的密钥与前一个PDCP数据PDU使用的密钥相同。

5.根据权利要求1所述的方法，其特征在于，所述UE执行PDCP操作时使用新密钥加密，并将第一个使用新密钥的上行PDCP数据PDU设置为标志位有效，具体为：

所述UE将任意一个PDCP SN不小于已经发送或正在发送的、使用旧密 钥的上行PDCP数据PDU作为第一个使用新密钥的上行PDCP数据PDU，并对所述第一个使用新密钥的上行PDCP数据PDU及其之后的上行PDCP数据PDU使用新密钥，并将所述第一个使用新密钥的上行PDCP数据PDU的标志位设置为有效。

6.一种指示安全密钥更新的装置，其特征在于，部署在第二基站eNB上，包括：

第一加密模块，用于在分流锚点从第一eNB转移到第二eNB时，对来自服务网关S-GW的第一个下行数据包执行分组数据汇聚协议PDCP操作时使用新密钥加密；

第一指示模块，用于将第一个使用新密钥的下行PDCP数据协议数据单元PDU设置为标志位有效；

其中，所述标志位有效表示当前下行PDCP数据PDU使用的密钥，与前一个下行PDCP数据PDU使用的密钥不同，所述前一个下行PDCP数据PDU的序列号比当前下行PDCP数据PDU小1。

7.根据权利要求6所述的装置，其特征在于，所述第一指示模块，还用于将PDCP数据PDU包头的任意一个保留位设置为所述标志位。

8.根据权利要求6所述的装置，其特征在于，所述第一指示模块，还用于将第一个使用新密钥的下行PDCP数据PDU之前的下行PDCP数据PDU和/或之后的下行PDCP数据PDU都设置为标志位无效；所述标志位无效表示当前下行PDCP数据PDU使用的密钥与前一个下行PDCP数据PDU使用的密钥相同。

9.一种指示安全密钥更新的装置，其特征在于，部署在UE上，包括：

第二加密模块，用于对上行数据包执行分组数据汇聚协议PDCP操作时使用新密钥加密；

第二指示模块，用于将第一个使用所述新密钥的上行PDCP数据协议数据单元PDU设置为标志位有效，所述第一个使用新密钥的上行PDCP数据PDU序列号不小于分流锚点转移时已经发送成功或正在发送的、使用旧密钥的上行PDCP数据PDU；

其中，所述标志位有效表示当前上行PDCP数据PDU使用的密钥，与前一个上行PDCP数据PDU使用的密钥不同，所述前一个上行PDCP数据PDU的序列号比当前上行PDCP数据PDU小1；

所述新密钥为分流锚点从第一eNB转移到第二eNB时所述第二eNB使用的密钥。

10.根据权利要求9所述的装置，其特征在于，所述第二指示模块，还用于将PDCP数据PDU包头的任意一个保留位设置为所述标志位。